Reflexión profunda sobre el ataque del hacker al protocolo Cetus
Recientemente, un protocolo publicó un informe de seguridad de "revisión" después de haber sido atacado por un hacker. Aunque el informe se destacó en detalles técnicos y en la respuesta de emergencia, pareció esquivar la explicación de las causas fundamentales del ataque.
El informe se centra en discutir el error de verificación de la función checked_shlw en la biblioteca integer-mate, calificándolo como un "malentendido semántico". Aunque esta descripción no tiene problemas técnicos, parece que intencionalmente desplaza el enfoque hacia factores externos, como si el protocolo mismo también fuera víctima de este defecto técnico.
Sin embargo, al analizar detenidamente la ruta del ataque del Hacker, se puede observar que un ataque exitoso debe cumplir simultáneamente con cuatro condiciones: una verificación de desbordamiento incorrecta, operaciones de desplazamiento masivo, reglas de redondeo hacia arriba y falta de verificación de razonabilidad económica. El protocolo tuvo importantes negligencias en cada una de las condiciones de "activación".
Los verdaderos problemas que el protocolo debería reflexionar incluyen:
¿Por qué no se realizaron pruebas de seguridad adecuadas al usar bibliotecas externas generales? A pesar de que la biblioteca es de código abierto y se usa ampliamente, el equipo del protocolo debería comprender mejor los límites de seguridad de la biblioteca y los riesgos potenciales al gestionar activos significativos.
¿Por qué se permite la entrada de números astronómicos irrazonables sin establecer límites razonables? Aunque la descentralización es el objetivo, los sistemas financieros maduros requieren límites claros. Esto refleja que el equipo puede carecer de talento en gestión de riesgos con intuición financiera.
¿Por qué, después de múltiples auditorías de seguridad, aún no se han encontrado problemas? Esto expone una confusión cognitiva común: confiar excesivamente en las auditorías de seguridad y pasar por alto la responsabilidad del propio proyecto. La seguridad moderna en DeFi implica campos cruzados de matemáticas, criptografía y economía, que son precisamente las áreas ciegas de las auditorías de seguridad actuales.
Este incidente destaca la brecha de seguridad sistémica en la industria DeFi: los equipos con un fondo puramente técnico a menudo carecen de un "olfato de riesgo financiero" básico.
Para esto, el equipo de DeFi debería:
Introducir expertos en gestión de riesgos financieros para cubrir las lagunas de conocimiento del equipo técnico
Establecer un mecanismo de auditoría y revisión multifacético, incluyendo auditoría de código y auditoría de modelo económico
Desarrollar un "olfato financiero", simular varios escenarios de ataque y elaborar medidas de respuesta
Mantener una alta vigilancia sobre operaciones anómalas
A medida que la industria avanza, los errores puramente técnicos en el nivel de tecnología disminuirán gradualmente, mientras que la "conciencia de errores" en la lógica de negocio, que tiene fronteras poco claras y responsabilidades difusas, se convertirá en el mayor desafío. Las empresas de auditoría de seguridad solo pueden asegurar que el código esté libre de errores, pero lograr que la "lógica tenga límites" requiere que el equipo del proyecto tenga una comprensión y capacidad de control más profundas sobre la esencia del negocio.
El futuro de DeFi pertenece a aquellos equipos que no solo tienen habilidades técnicas sólidas, sino que también comprenden profundamente la lógica empresarial. Solo cultivando verdaderamente la conciencia de riesgo de seguridad de los "ingenieros financieros" se podrá establecer una posición firme en este campo de rápido desarrollo.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
16 me gusta
Recompensa
16
6
Compartir
Comentar
0/400
FlashLoanPrince
· 07-22 05:17
Si muere un amigo, no muere un pobre. Me voy, me voy.
Ver originalesResponder0
SandwichTrader
· 07-21 04:19
Ya lo entendí todo al hacer clic. Es fácil ser un sabio después del hecho.
Ver originalesResponder0
AirdropworkerZhang
· 07-19 05:54
tontos的命运呜呜呜
Ver originalesResponder0
MercilessHalal
· 07-19 05:51
Perdí cuántas moneda, ¿no te atreves a decirlo?
Ver originalesResponder0
UnluckyValidator
· 07-19 05:51
Siempre caer en la puerta de un bull run
Ver originalesResponder0
nft_widow
· 07-19 05:41
¿Aún esperas que este grupo de personas tenga conciencia?
El protocolo Cetus fue atacado por hackers, la seguridad en Finanzas descentralizadas necesita fomentar la conciencia sobre los riesgos financieros.
Reflexión profunda sobre el ataque del hacker al protocolo Cetus
Recientemente, un protocolo publicó un informe de seguridad de "revisión" después de haber sido atacado por un hacker. Aunque el informe se destacó en detalles técnicos y en la respuesta de emergencia, pareció esquivar la explicación de las causas fundamentales del ataque.
El informe se centra en discutir el error de verificación de la función checked_shlw en la biblioteca integer-mate, calificándolo como un "malentendido semántico". Aunque esta descripción no tiene problemas técnicos, parece que intencionalmente desplaza el enfoque hacia factores externos, como si el protocolo mismo también fuera víctima de este defecto técnico.
Sin embargo, al analizar detenidamente la ruta del ataque del Hacker, se puede observar que un ataque exitoso debe cumplir simultáneamente con cuatro condiciones: una verificación de desbordamiento incorrecta, operaciones de desplazamiento masivo, reglas de redondeo hacia arriba y falta de verificación de razonabilidad económica. El protocolo tuvo importantes negligencias en cada una de las condiciones de "activación".
Los verdaderos problemas que el protocolo debería reflexionar incluyen:
¿Por qué no se realizaron pruebas de seguridad adecuadas al usar bibliotecas externas generales? A pesar de que la biblioteca es de código abierto y se usa ampliamente, el equipo del protocolo debería comprender mejor los límites de seguridad de la biblioteca y los riesgos potenciales al gestionar activos significativos.
¿Por qué se permite la entrada de números astronómicos irrazonables sin establecer límites razonables? Aunque la descentralización es el objetivo, los sistemas financieros maduros requieren límites claros. Esto refleja que el equipo puede carecer de talento en gestión de riesgos con intuición financiera.
¿Por qué, después de múltiples auditorías de seguridad, aún no se han encontrado problemas? Esto expone una confusión cognitiva común: confiar excesivamente en las auditorías de seguridad y pasar por alto la responsabilidad del propio proyecto. La seguridad moderna en DeFi implica campos cruzados de matemáticas, criptografía y economía, que son precisamente las áreas ciegas de las auditorías de seguridad actuales.
Este incidente destaca la brecha de seguridad sistémica en la industria DeFi: los equipos con un fondo puramente técnico a menudo carecen de un "olfato de riesgo financiero" básico.
Para esto, el equipo de DeFi debería:
A medida que la industria avanza, los errores puramente técnicos en el nivel de tecnología disminuirán gradualmente, mientras que la "conciencia de errores" en la lógica de negocio, que tiene fronteras poco claras y responsabilidades difusas, se convertirá en el mayor desafío. Las empresas de auditoría de seguridad solo pueden asegurar que el código esté libre de errores, pero lograr que la "lógica tenga límites" requiere que el equipo del proyecto tenga una comprensión y capacidad de control más profundas sobre la esencia del negocio.
El futuro de DeFi pertenece a aquellos equipos que no solo tienen habilidades técnicas sólidas, sino que también comprenden profundamente la lógica empresarial. Solo cultivando verdaderamente la conciencia de riesgo de seguridad de los "ingenieros financieros" se podrá establecer una posición firme en este campo de rápido desarrollo.