Suy ngẫm sâu sắc về sự kiện giao thức Cetus bị hacker tấn công
Một giao thức gần đây đã phát hành một báo cáo "phục hồi" an ninh sau khi bị hacker tấn công. Mặc dù báo cáo thể hiện xuất sắc về chi tiết kỹ thuật và phản ứng khẩn cấp, nhưng lại có vẻ lảng tránh khi giải thích nguyên nhân gốc rễ của cuộc tấn công.
Báo cáo tập trung thảo luận về lỗi kiểm tra của hàm checked_shlw trong thư viện integer-mate, và coi đó là "sự hiểu lầm về ngữ nghĩa". Mặc dù mô tả này không có vấn đề về kỹ thuật, nhưng dường như có ý định chuyển trọng tâm sang các yếu tố bên ngoài, như thể giao thức chính nó cũng là nạn nhân của khiếm khuyết kỹ thuật này.
Tuy nhiên, phân tích kỹ lưỡng các đường tấn công của hacker sẽ thấy rằng, để tấn công thành công cần phải đồng thời thỏa mãn bốn điều kiện: kiểm tra tràn lỗi sai, phép toán dịch chuyển lớn, quy tắc làm tròn lên và thiếu xác thực tính hợp lý kinh tế. Giao thức đã có sự thiếu sót nghiêm trọng ở mỗi "điều kiện kích hoạt".
giao thức真正应该反思的问题包括:
Tại sao khi sử dụng thư viện bên ngoài chung mà không tiến hành kiểm tra an ninh đầy đủ? Mặc dù thư viện đó mã nguồn mở và được sử dụng rộng rãi, nhưng khi quản lý khối tài sản khổng lồ, đội ngũ giao thức nên hiểu rõ hơn về các ranh giới an ninh và những rủi ro tiềm ẩn của thư viện.
Tại sao lại cho phép nhập các con số thiên văn không hợp lý mà không đặt ra các giới hạn hợp lý? Mặc dù phi tập trung là mục tiêu, nhưng một hệ thống tài chính trưởng thành cần có các ranh giới rõ ràng hơn. Điều này phản ánh rằng đội ngũ có thể thiếu những nhân tài quản lý rủi ro có trực giác tài chính.
Tại sao sau nhiều vòng kiểm toán an ninh vẫn không phát hiện vấn đề? Điều này phơi bày một hiểu lầm phổ biến: quá phụ thuộc vào kiểm toán an ninh mà bỏ qua trách nhiệm của chính bên dự án. An ninh DeFi hiện đại liên quan đến các lĩnh vực giao thoa của toán học, mật mã và kinh tế học, đây chính là điểm mù trong kiểm toán an ninh hiện tại.
Sự kiện này đã làm nổi bật điểm yếu về an ninh hệ thống trong ngành DeFi: các đội ngũ có nền tảng kỹ thuật thuần túy thường thiếu "khả năng ngửi thấy rủi ro tài chính" cơ bản.
Đối với điều này, đội ngũ DeFi nên:
Mời các chuyên gia quản lý rủi ro tài chính, bù đắp cho những điểm mù kiến thức của đội ngũ kỹ thuật
Xây dựng cơ chế kiểm tra và đánh giá đa bên, bao gồm kiểm toán mã và kiểm toán mô hình kinh tế
Nuôi dưỡng "khả năng cảm nhận tài chính", mô phỏng các tình huống tấn công khác nhau và xây dựng biện pháp ứng phó
Giữ cảnh giác cao đối với các hoạt động bất thường
Theo sự phát triển của ngành, các lỗi thuần túy về mặt kỹ thuật sẽ dần giảm, trong khi "lỗi ý thức" về logic kinh doanh với ranh giới không rõ ràng và trách nhiệm mơ hồ sẽ trở thành thách thức lớn nhất. Các công ty kiểm toán an ninh chỉ có thể đảm bảo rằng mã không có lỗi, nhưng làm thế nào để đạt được "logic có ranh giới" cần có đội ngũ dự án hiểu và kiểm soát bản chất của kinh doanh một cách sâu sắc hơn.
Tương lai của DeFi thuộc về những đội ngũ không chỉ có kỹ thuật vững vàng, mà còn hiểu sâu sắc về logic kinh doanh. Chỉ khi thực sự nuôi dưỡng ý thức về rủi ro an toàn của "kỹ sư tài chính", họ mới có thể đứng vững trong lĩnh vực phát triển nhanh chóng này.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
16 thích
Phần thưởng
16
6
Chia sẻ
Bình luận
0/400
FlashLoanPrince
· 07-22 05:17
Chết đạo hữu không chết nghèo đạo, đã đi rồi, đã đi rồi.
Giao thức Cetus遭 Hacker tấn công Tài chính phi tập trung cần nuôi dưỡng ý thức về rủi ro tài chính
Suy ngẫm sâu sắc về sự kiện giao thức Cetus bị hacker tấn công
Một giao thức gần đây đã phát hành một báo cáo "phục hồi" an ninh sau khi bị hacker tấn công. Mặc dù báo cáo thể hiện xuất sắc về chi tiết kỹ thuật và phản ứng khẩn cấp, nhưng lại có vẻ lảng tránh khi giải thích nguyên nhân gốc rễ của cuộc tấn công.
Báo cáo tập trung thảo luận về lỗi kiểm tra của hàm checked_shlw trong thư viện integer-mate, và coi đó là "sự hiểu lầm về ngữ nghĩa". Mặc dù mô tả này không có vấn đề về kỹ thuật, nhưng dường như có ý định chuyển trọng tâm sang các yếu tố bên ngoài, như thể giao thức chính nó cũng là nạn nhân của khiếm khuyết kỹ thuật này.
Tuy nhiên, phân tích kỹ lưỡng các đường tấn công của hacker sẽ thấy rằng, để tấn công thành công cần phải đồng thời thỏa mãn bốn điều kiện: kiểm tra tràn lỗi sai, phép toán dịch chuyển lớn, quy tắc làm tròn lên và thiếu xác thực tính hợp lý kinh tế. Giao thức đã có sự thiếu sót nghiêm trọng ở mỗi "điều kiện kích hoạt".
giao thức真正应该反思的问题包括:
Tại sao khi sử dụng thư viện bên ngoài chung mà không tiến hành kiểm tra an ninh đầy đủ? Mặc dù thư viện đó mã nguồn mở và được sử dụng rộng rãi, nhưng khi quản lý khối tài sản khổng lồ, đội ngũ giao thức nên hiểu rõ hơn về các ranh giới an ninh và những rủi ro tiềm ẩn của thư viện.
Tại sao lại cho phép nhập các con số thiên văn không hợp lý mà không đặt ra các giới hạn hợp lý? Mặc dù phi tập trung là mục tiêu, nhưng một hệ thống tài chính trưởng thành cần có các ranh giới rõ ràng hơn. Điều này phản ánh rằng đội ngũ có thể thiếu những nhân tài quản lý rủi ro có trực giác tài chính.
Tại sao sau nhiều vòng kiểm toán an ninh vẫn không phát hiện vấn đề? Điều này phơi bày một hiểu lầm phổ biến: quá phụ thuộc vào kiểm toán an ninh mà bỏ qua trách nhiệm của chính bên dự án. An ninh DeFi hiện đại liên quan đến các lĩnh vực giao thoa của toán học, mật mã và kinh tế học, đây chính là điểm mù trong kiểm toán an ninh hiện tại.
Sự kiện này đã làm nổi bật điểm yếu về an ninh hệ thống trong ngành DeFi: các đội ngũ có nền tảng kỹ thuật thuần túy thường thiếu "khả năng ngửi thấy rủi ro tài chính" cơ bản.
Đối với điều này, đội ngũ DeFi nên:
Theo sự phát triển của ngành, các lỗi thuần túy về mặt kỹ thuật sẽ dần giảm, trong khi "lỗi ý thức" về logic kinh doanh với ranh giới không rõ ràng và trách nhiệm mơ hồ sẽ trở thành thách thức lớn nhất. Các công ty kiểm toán an ninh chỉ có thể đảm bảo rằng mã không có lỗi, nhưng làm thế nào để đạt được "logic có ranh giới" cần có đội ngũ dự án hiểu và kiểm soát bản chất của kinh doanh một cách sâu sắc hơn.
Tương lai của DeFi thuộc về những đội ngũ không chỉ có kỹ thuật vững vàng, mà còn hiểu sâu sắc về logic kinh doanh. Chỉ khi thực sự nuôi dưỡng ý thức về rủi ro an toàn của "kỹ sư tài chính", họ mới có thể đứng vững trong lĩnh vực phát triển nhanh chóng này.