Refleksi Kedalaman Terhadap Peristiwa Serangan Hacker pada Protokol Cetus
Sebuah prokol baru-baru ini mengalami serangan hacker dan merilis laporan "pemulihan" keamanan. Meskipun laporan tersebut menunjukkan kinerja yang luar biasa dalam rincian teknis dan respons darurat, namun tampak menghindar dalam menjelaskan penyebab dasar serangan.
Laporan ini menyoroti kesalahan pemeriksaan pada fungsi checked_shlw di perpustakaan integer-mate, mengklasifikasikannya sebagai "kesalahpahaman semantik". Meskipun deskripsi ini secara teknis tidak bermasalah, tampaknya ada niat untuk mengalihkan fokus pada faktor eksternal, seolah-olah protokol itu sendiri juga merupakan korban dari cacat teknis ini.
Namun, analisis mendalam terhadap jalur serangan hacker menunjukkan bahwa serangan yang berhasil harus memenuhi empat kondisi sekaligus: pemeriksaan overflow yang salah, operasi pergeseran yang besar, aturan pembulatan ke atas, dan kurangnya verifikasi kelayakan ekonomi. Protokol mengalami kelalaian yang signifikan pada setiap "kondisi pemicu".
protokol benar-benar harus merenungkan masalah yang termasuk:
Mengapa tidak dilakukan pengujian keamanan yang memadai saat menggunakan pustaka eksternal yang umum? Meskipun pustaka tersebut bersifat open-source dan banyak digunakan, tim protokol seharusnya lebih memahami batasan keamanan dan risiko potensial pustaka tersebut saat mengelola aset yang besar.
Mengapa diizinkan untuk memasukkan angka astronomis yang tidak masuk akal tanpa menetapkan batasan yang wajar? Meskipun desentralisasi adalah tujuan, sistem keuangan yang matang lebih membutuhkan batasan yang jelas. Ini mencerminkan bahwa tim mungkin kurang memiliki talenta manajemen risiko yang memiliki intuisi keuangan.
Mengapa setelah beberapa kali audit keamanan masih belum ditemukan masalah? Ini mengungkapkan sebuah kesalahan pemahaman yang umum: terlalu mengandalkan audit keamanan dan mengabaikan tanggung jawab proyek itu sendiri. Keamanan DeFi modern melibatkan bidang silang matematika, kriptografi, dan ekonomi, yang merupakan titik buta audit keamanan saat ini.
Kejadian ini menyoroti kekurangan keamanan sistemik dalam industri DeFi: tim yang memiliki latar belakang teknis murni sering kali kekurangan "indera risiko keuangan" yang dasar.
Oleh karena itu, tim DeFi seharusnya:
Menghadirkan ahli manajemen risiko keuangan untuk mengisi celah pengetahuan tim teknis
Membangun mekanisme audit multi-pihak, termasuk audit kode dan audit model ekonomi
Mengembangkan "indera keuangan", mensimulasikan berbagai skenario serangan dan merumuskan langkah-langkah respons
Waspada terhadap operasi yang tidak biasa
Seiring dengan perkembangan industri, Bug di tingkat teknis murni akan berkurang secara bertahap, sementara logika bisnis yang "Bug kesadaran" dengan batas yang tidak jelas dan tanggung jawab yang kabur akan menjadi tantangan terbesar. Perusahaan audit keamanan hanya dapat memastikan bahwa kode tidak memiliki Bug, tetapi bagaimana mencapai "logika memiliki batas" memerlukan tim proyek untuk memiliki pemahaman dan kemampuan pengendalian yang lebih dalam tentang esensi bisnis.
Masa depan DeFi adalah milik tim yang tidak hanya memiliki keterampilan teknis yang kuat, tetapi juga pemahaman yang mendalam tentang logika bisnis. Hanya dengan benar-benar membangun kesadaran risiko keamanan "insinyur keuangan" dapat kita berdiri kokoh di bidang yang berkembang pesat ini.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
16 Suka
Hadiah
16
6
Bagikan
Komentar
0/400
FlashLoanPrince
· 07-22 05:17
Mati teman tidak mati jalan saya, sudah pergi, sudah pergi
Lihat AsliBalas0
SandwichTrader
· 07-21 04:19
Setelah masuk, semuanya menjadi jelas. Setelah kejadian, sangat mudah menjadi ahli.
Lihat AsliBalas0
AirdropworkerZhang
· 07-19 05:54
nasib suckers wuwuwu
Lihat AsliBalas0
MercilessHalal
· 07-19 05:51
Rugi berapa koin tidak berani bilang, kan?
Lihat AsliBalas0
UnluckyValidator
· 07-19 05:51
Selamanya terjatuh di pintu bull run
Lihat AsliBalas0
nft_widow
· 07-19 05:41
Masih berharap orang-orang ini memiliki hati nurani?
Protokol Cetus diserang oleh Hacker, keamanan Keuangan Desentralisasi perlu membangun kesadaran risiko finansial.
Refleksi Kedalaman Terhadap Peristiwa Serangan Hacker pada Protokol Cetus
Sebuah prokol baru-baru ini mengalami serangan hacker dan merilis laporan "pemulihan" keamanan. Meskipun laporan tersebut menunjukkan kinerja yang luar biasa dalam rincian teknis dan respons darurat, namun tampak menghindar dalam menjelaskan penyebab dasar serangan.
Laporan ini menyoroti kesalahan pemeriksaan pada fungsi checked_shlw di perpustakaan integer-mate, mengklasifikasikannya sebagai "kesalahpahaman semantik". Meskipun deskripsi ini secara teknis tidak bermasalah, tampaknya ada niat untuk mengalihkan fokus pada faktor eksternal, seolah-olah protokol itu sendiri juga merupakan korban dari cacat teknis ini.
Namun, analisis mendalam terhadap jalur serangan hacker menunjukkan bahwa serangan yang berhasil harus memenuhi empat kondisi sekaligus: pemeriksaan overflow yang salah, operasi pergeseran yang besar, aturan pembulatan ke atas, dan kurangnya verifikasi kelayakan ekonomi. Protokol mengalami kelalaian yang signifikan pada setiap "kondisi pemicu".
protokol benar-benar harus merenungkan masalah yang termasuk:
Mengapa tidak dilakukan pengujian keamanan yang memadai saat menggunakan pustaka eksternal yang umum? Meskipun pustaka tersebut bersifat open-source dan banyak digunakan, tim protokol seharusnya lebih memahami batasan keamanan dan risiko potensial pustaka tersebut saat mengelola aset yang besar.
Mengapa diizinkan untuk memasukkan angka astronomis yang tidak masuk akal tanpa menetapkan batasan yang wajar? Meskipun desentralisasi adalah tujuan, sistem keuangan yang matang lebih membutuhkan batasan yang jelas. Ini mencerminkan bahwa tim mungkin kurang memiliki talenta manajemen risiko yang memiliki intuisi keuangan.
Mengapa setelah beberapa kali audit keamanan masih belum ditemukan masalah? Ini mengungkapkan sebuah kesalahan pemahaman yang umum: terlalu mengandalkan audit keamanan dan mengabaikan tanggung jawab proyek itu sendiri. Keamanan DeFi modern melibatkan bidang silang matematika, kriptografi, dan ekonomi, yang merupakan titik buta audit keamanan saat ini.
Kejadian ini menyoroti kekurangan keamanan sistemik dalam industri DeFi: tim yang memiliki latar belakang teknis murni sering kali kekurangan "indera risiko keuangan" yang dasar.
Oleh karena itu, tim DeFi seharusnya:
Seiring dengan perkembangan industri, Bug di tingkat teknis murni akan berkurang secara bertahap, sementara logika bisnis yang "Bug kesadaran" dengan batas yang tidak jelas dan tanggung jawab yang kabur akan menjadi tantangan terbesar. Perusahaan audit keamanan hanya dapat memastikan bahwa kode tidak memiliki Bug, tetapi bagaimana mencapai "logika memiliki batas" memerlukan tim proyek untuk memiliki pemahaman dan kemampuan pengendalian yang lebih dalam tentang esensi bisnis.
Masa depan DeFi adalah milik tim yang tidak hanya memiliki keterampilan teknis yang kuat, tetapi juga pemahaman yang mendalam tentang logika bisnis. Hanya dengan benar-benar membangun kesadaran risiko keamanan "insinyur keuangan" dapat kita berdiri kokoh di bidang yang berkembang pesat ini.