Análise do incidente de ataque do hacker Cetus: pontos cegos e reflexões sobre a segurança das Finanças Descentralizadas
Recentemente, uma plataforma DEX foi alvo de um ataque hacker, gerando ampla atenção na indústria. A plataforma, em seguida, publicou um relatório detalhado sobre o evento, no entanto, ao ler atentamente, percebe-se um fenômeno interessante: o relatório se destaca em detalhes técnicos e na resposta de emergência, mas parece ser reservado na explicação da causa raiz do ataque.
O relatório destacou a verificação de erros da função checked_shlw na biblioteca integer-mate (a verificação real é maior do que a esperada) e a qualificou como "mal-entendido semântico". Embora essa descrição seja tecnicamente defensável, parece ter a intenção de desviar o foco para fatores externos, minimizando a responsabilidade da própria plataforma.
No entanto, uma análise mais profunda revela que a implementação bem-sucedida deste ataque requer que quatro condições sejam atendidas simultaneamente: verificação de estouro incorreta, operações de deslocamento significativas, regras de arredondamento para cima e falta de verificação de viabilidade econômica. Surpreendentemente, a plataforma falhou em cada um dos pontos críticos.
Mais preocupante é por que a plataforma permite a entrada de números astronômicos tão irracionais? Por que não houve nenhum alerta ao calcular uma proporção de troca absurda? Essas questões apontam para a falta de gerenciamento de riscos e conhecimento financeiro da equipe do projeto.
Este incidente expôs problemas que vão muito além do nível técnico. Ele destaca a deficiência de segurança sistêmica que é comum na indústria DeFi: equipes com formação puramente técnica costumam carecer da necessária consciência de risco financeiro.
Para isso, sugerimos que as equipas de projetos de Finanças Descentralizadas devem:
Introduzir especialistas em gestão de risco financeiro para preencher as lacunas de conhecimento da equipe técnica.
Estabelecer um mecanismo de auditoria multifacetado, que não se concentre apenas na auditoria de código, mas também dê importância à auditoria do modelo econômico.
Desenvolver o "instinto financeiro", simular vários cenários de ataque e elaborar medidas de resposta.
Mantenha uma alta vigilância sobre operações anormais.
Isso nos lembra que, à medida que a indústria evolui, os "bugs" técnicos puros podem diminuir gradualmente, mas os "bugs de consciência" na lógica de negócios se tornarão um desafio maior. Embora a auditoria de segurança seja importante, garantir que a "lógica tenha limites" requer que as equipes de projeto tenham uma compreensão e capacidade de controle mais profundas sobre a essência do negócio.
O futuro do setor DeFi será liderado por equipes que não apenas possuem habilidades técnicas sólidas, mas que também conseguem compreender profundamente a lógica de negócios. Este evento é, sem dúvida, um alerta para toda a indústria, convocando-nos a reavaliar a essência da segurança no DeFi.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
10 gostos
Recompensa
10
8
Partilhar
Comentar
0/400
ImpermanentPhilosopher
· 07-04 19:09
Dizem que já foi feito KYC e ainda acontece isso?
Ver originalResponder0
gaslight_gasfeez
· 07-04 15:18
又是一个被 fazer as pessoas de parvas 的项目 惨
Ver originalResponder0
RugpullSurvivor
· 07-04 07:41
Outra vez um dia de Cupões de Recorte
Ver originalResponder0
CryptoComedian
· 07-04 07:41
Auditorias que nem os cães verificam já se atrevem a ir para a blockchain. Rindo até os idiotas.
Ver originalResponder0
TrustMeBro
· 07-04 07:35
Desculpe, pró.
Ver originalResponder0
All-InQueen
· 07-04 07:26
Segurança, segurança, ou ainda capotou.
Ver originalResponder0
TommyTeacher
· 07-04 07:22
Ainda está aqui a fazer de conta que é leigo.
Ver originalResponder0
SerumDegen
· 07-04 07:16
ngmi... outro protocolo a ser rekt devido à 0 gestão de risco smh
Cetus遭Hacker攻击:Finanças Descentralizadas安全盲点与金融风控意识缺失
Análise do incidente de ataque do hacker Cetus: pontos cegos e reflexões sobre a segurança das Finanças Descentralizadas
Recentemente, uma plataforma DEX foi alvo de um ataque hacker, gerando ampla atenção na indústria. A plataforma, em seguida, publicou um relatório detalhado sobre o evento, no entanto, ao ler atentamente, percebe-se um fenômeno interessante: o relatório se destaca em detalhes técnicos e na resposta de emergência, mas parece ser reservado na explicação da causa raiz do ataque.
O relatório destacou a verificação de erros da função checked_shlw na biblioteca integer-mate (a verificação real é maior do que a esperada) e a qualificou como "mal-entendido semântico". Embora essa descrição seja tecnicamente defensável, parece ter a intenção de desviar o foco para fatores externos, minimizando a responsabilidade da própria plataforma.
No entanto, uma análise mais profunda revela que a implementação bem-sucedida deste ataque requer que quatro condições sejam atendidas simultaneamente: verificação de estouro incorreta, operações de deslocamento significativas, regras de arredondamento para cima e falta de verificação de viabilidade econômica. Surpreendentemente, a plataforma falhou em cada um dos pontos críticos.
Mais preocupante é por que a plataforma permite a entrada de números astronômicos tão irracionais? Por que não houve nenhum alerta ao calcular uma proporção de troca absurda? Essas questões apontam para a falta de gerenciamento de riscos e conhecimento financeiro da equipe do projeto.
Este incidente expôs problemas que vão muito além do nível técnico. Ele destaca a deficiência de segurança sistêmica que é comum na indústria DeFi: equipes com formação puramente técnica costumam carecer da necessária consciência de risco financeiro.
Para isso, sugerimos que as equipas de projetos de Finanças Descentralizadas devem:
Isso nos lembra que, à medida que a indústria evolui, os "bugs" técnicos puros podem diminuir gradualmente, mas os "bugs de consciência" na lógica de negócios se tornarão um desafio maior. Embora a auditoria de segurança seja importante, garantir que a "lógica tenha limites" requer que as equipes de projeto tenham uma compreensão e capacidade de controle mais profundas sobre a essência do negócio.
O futuro do setor DeFi será liderado por equipes que não apenas possuem habilidades técnicas sólidas, mas que também conseguem compreender profundamente a lógica de negócios. Este evento é, sem dúvida, um alerta para toda a indústria, convocando-nos a reavaliar a essência da segurança no DeFi.