Cetus Protocol, yakın zamanda bir Hacker saldırısı güvenlik raporu yayımladı ve bu, sektörde geniş bir takip et ilgi uyandırdı. Rapor, teknik detaylar ve acil durum yanıt önlemlerini kapsamlı bir şekilde ortaya koyuyor ve ders kitabı seviyesinde olarak değerlendiriliyor. Ancak, saldırının nedenlerini açıklarken, rapor sanki önemli noktaları atlayarak dış sorumluluklara odaklanmış gibi görünüyor.
Rapor, integer-mate kütüphanesinin checked_shlw fonksiyonunun hata kontrolünü "anlamsal yanlış anlama" olarak nitelendirerek açıkladı. Bu anlatım teknik olarak geçerli olsa da, Cetus'un kendi sorumluluğundan ustaca kaçınıyor.
Derinlemesine analiz, hacker saldırılarının başarılı olmasının dört koşulun aynı anda sağlanmasına bağlı olduğunu ortaya koymuştur: hatalı taşma kontrolü, büyük kaydırma işlemleri, yukarı yuvarlama kuralları ve ekonomik mantık doğrulamasının eksikliği. Cetus, her tetikleme koşulunda belirgin ihmal göstermektedir; örneğin, astronomik sayıda girdi kabul etmekte, tehlikeli büyük kaydırma işlemleri kullanmakta, dış kütüphane kontrollerine tamamen güvenmekte ve sistemin mantıksız sonuçlar hesapladığında herhangi bir ekonomik mantık kontrolü yapmadan doğrudan yürütmektedir.
Bu, Cetus ekibinin aşağıdaki konularda ciddi sorunlar yaşadığını ortaya koyuyor:
Tedarik zinciri güvenliği bilincinin eksikliği. Popüler açık kaynak kütüphaneler kullanılsa da, güvenlik sınırları ve potansiyel riskler hakkında yeterince bilgi sahibi olunmamıştır.
Finansal sezgiye sahip risk yönetimi uzmanlarının eksikliği. Mantıksız astronomik rakamların girilmesine izin verilmesi, ekibin finansal sistemin sınırlarını anlama yetersizliğini göstermektedir.
Güvenlik denetimine aşırı bağımlılık, disiplinler arası sınır doğrulamanın önemini göz ardı etmektedir. Modern DeFi güvenliği, matematik, kriptografi ve ekonomi gibi birçok alanı içerir; sadece kod denetimine güvenmek kesinlikle yeterli değildir.
Bu, DeFi endüstrisinde genel olarak mevcut olan sistematik güvenlik zayıflığını yansıtmaktadır: Teknik ekiplerin genellikle temel finansal risk bilincinden yoksun olması.
Gelecekte, DeFi projeleri saf teknik düşüncenin sınırlılıklarını aşmalı ve gerçek bir "finans mühendisinin" güvenlik bilincini geliştirmelidir. Spesifik önlemler arasında şunlar yer alabilir: teknik ekibin bilgi eksikliklerini gidermek için finansal risk yönetimi uzmanlarının dahil edilmesi; kod ve ekonomik model denetimlerini kapsayan çok taraflı bir denetim inceleme mekanizmasının kurulması; çeşitli saldırı senaryolarını simüle ederek "finans algısını" geliştirmek ve buna göre önlemler almak.
Sektör olgunlaştıkça, kod düzeyindeki teknik açıklar giderek azalacak, ancak sınırların belirsiz olduğu ve sorumlulukların bulanıklaştığı iş mantığı "bilinç açıkları" en büyük zorluk haline gelecektir. Denetim şirketleri yalnızca kodların açık içermediğini garanti edebilir, ancak "mantığın sınırları olması" nasıl sağlanır, bunun için proje ekibinin işin doğasına daha derin bir anlayış ve kontrol yeteneğine sahip olması gerekir.
DeFi'nin geleceği yalnızca kod teknolojisi sağlam olan ve iş mantığını derinlemesine anlayan ekiplerin olacaktır. Sadece gerçek anlamda disiplinler arası bilgiyi kavrayanlar, bu hızlı gelişen sektörde ayakta kalabilirler.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
9 Likes
Reward
9
5
Share
Comment
0/400
GateUser-beba108d
· 07-21 09:39
Yine bir denetim tarafından desteklenen
View OriginalReply0
GasWrangler
· 07-21 09:33
teknik olarak konuşursak, amatör güvenlik denetimleri alt seviyededir
Cetus Hacker saldırısı incelemesi, Merkezi Olmayan Finans sektöründeki sistematik güvenlik açıklarını ortaya koyuyor.
Cetus Protocol, yakın zamanda bir Hacker saldırısı güvenlik raporu yayımladı ve bu, sektörde geniş bir takip et ilgi uyandırdı. Rapor, teknik detaylar ve acil durum yanıt önlemlerini kapsamlı bir şekilde ortaya koyuyor ve ders kitabı seviyesinde olarak değerlendiriliyor. Ancak, saldırının nedenlerini açıklarken, rapor sanki önemli noktaları atlayarak dış sorumluluklara odaklanmış gibi görünüyor.
Rapor, integer-mate kütüphanesinin checked_shlw fonksiyonunun hata kontrolünü "anlamsal yanlış anlama" olarak nitelendirerek açıkladı. Bu anlatım teknik olarak geçerli olsa da, Cetus'un kendi sorumluluğundan ustaca kaçınıyor.
Derinlemesine analiz, hacker saldırılarının başarılı olmasının dört koşulun aynı anda sağlanmasına bağlı olduğunu ortaya koymuştur: hatalı taşma kontrolü, büyük kaydırma işlemleri, yukarı yuvarlama kuralları ve ekonomik mantık doğrulamasının eksikliği. Cetus, her tetikleme koşulunda belirgin ihmal göstermektedir; örneğin, astronomik sayıda girdi kabul etmekte, tehlikeli büyük kaydırma işlemleri kullanmakta, dış kütüphane kontrollerine tamamen güvenmekte ve sistemin mantıksız sonuçlar hesapladığında herhangi bir ekonomik mantık kontrolü yapmadan doğrudan yürütmektedir.
Bu, Cetus ekibinin aşağıdaki konularda ciddi sorunlar yaşadığını ortaya koyuyor:
Tedarik zinciri güvenliği bilincinin eksikliği. Popüler açık kaynak kütüphaneler kullanılsa da, güvenlik sınırları ve potansiyel riskler hakkında yeterince bilgi sahibi olunmamıştır.
Finansal sezgiye sahip risk yönetimi uzmanlarının eksikliği. Mantıksız astronomik rakamların girilmesine izin verilmesi, ekibin finansal sistemin sınırlarını anlama yetersizliğini göstermektedir.
Güvenlik denetimine aşırı bağımlılık, disiplinler arası sınır doğrulamanın önemini göz ardı etmektedir. Modern DeFi güvenliği, matematik, kriptografi ve ekonomi gibi birçok alanı içerir; sadece kod denetimine güvenmek kesinlikle yeterli değildir.
Bu, DeFi endüstrisinde genel olarak mevcut olan sistematik güvenlik zayıflığını yansıtmaktadır: Teknik ekiplerin genellikle temel finansal risk bilincinden yoksun olması.
Gelecekte, DeFi projeleri saf teknik düşüncenin sınırlılıklarını aşmalı ve gerçek bir "finans mühendisinin" güvenlik bilincini geliştirmelidir. Spesifik önlemler arasında şunlar yer alabilir: teknik ekibin bilgi eksikliklerini gidermek için finansal risk yönetimi uzmanlarının dahil edilmesi; kod ve ekonomik model denetimlerini kapsayan çok taraflı bir denetim inceleme mekanizmasının kurulması; çeşitli saldırı senaryolarını simüle ederek "finans algısını" geliştirmek ve buna göre önlemler almak.
Sektör olgunlaştıkça, kod düzeyindeki teknik açıklar giderek azalacak, ancak sınırların belirsiz olduğu ve sorumlulukların bulanıklaştığı iş mantığı "bilinç açıkları" en büyük zorluk haline gelecektir. Denetim şirketleri yalnızca kodların açık içermediğini garanti edebilir, ancak "mantığın sınırları olması" nasıl sağlanır, bunun için proje ekibinin işin doğasına daha derin bir anlayış ve kontrol yeteneğine sahip olması gerekir.
DeFi'nin geleceği yalnızca kod teknolojisi sağlam olan ve iş mantığını derinlemesine anlayan ekiplerin olacaktır. Sadece gerçek anlamda disiplinler arası bilgiyi kavrayanlar, bu hızlı gelişen sektörde ayakta kalabilirler.