Анализ инцидента с хакерской атакой на Cetus: слепые зоны и размышления о безопасности Децентрализованных финансов
Недавно одна из платформ DEX подверглась атаке хакеров, что вызвало широкое внимание в индустрии. Платформа затем выпустила подробный отчет о событиях, однако при внимательном чтении можно заметить интересное явление: отчет демонстрирует отличные результаты в технических деталях и экстренных мерах, но при объяснении коренных причин атаки оказывается несколько сдержанным.
Отчет подчеркивает ошибки проверки функции checked_shlw в библиотеке integer-mate (фактический диапазон проверки больше ожидаемого) и квалифицирует это как "семантическое недоразумение". Хотя это описание технически неоспоримо, оно, похоже, намеренно смещает акцент на внешние факторы, снижая ответственность самой платформы.
Однако более глубокий анализ покажет, что для успешной реализации этой атаки необходимо одновременно выполнить четыре условия: неправильная проверка переполнения, значительные операции смещения, правила округления вверх и отсутствие проверки экономической целесообразности. Удивительно, но на каждой ключевой точке этой платформы были упущения.
Более важно задуматься, почему платформа позволяет вводить такие неразумные астрономические числа? Почему при расчете абсурдного обменного курса не сработала ни одна тревога? Эти вопросы указывают на недостатки команды проекта в управлении рисками и финансовой грамотности.
Данный инцидент выявил проблемы, которые выходят далеко за рамки технического уровня. Он подчеркивает системные недостатки безопасности, распространенные в индустрии Децентрализованных финансов: команды с чисто техническим фоном часто не имеют необходимого осознания финансовых рисков.
В связи с этим мы рекомендуем командам проектов Децентрализованные финансы:
Привлечение экспертов в области финансового риска для восполнения пробелов в знаниях технической команды.
Установить многосторонний механизм аудита, который не только сосредоточен на аудите кода, но также придает значение аудиту экономической модели.
Развивайте "финансовое чутье", моделируйте различные сценарии атак и разрабатывайте меры реагирования.
Будьте внимательны к аномальным действиям.
Это напоминает нам, что с развитием отрасли чистые технические ошибки могут постепенно уменьшаться, но "ошибки осознания" в бизнес-логике станут большей проблемой. Безусловно, безопасность аудита важна, но как гарантировать, что "логика имеет границы", требует от проектных команд более глубокого понимания и контроля над сутью бизнеса.
Будущее области Децентрализованные финансы будет определяться командами, которые не только обладают крепкими техническими навыками, но и глубоко понимают бизнес-логику. Это событие, безусловно, стало призывом к пробуждению для всей отрасли, призывая нас переосмыслить суть безопасности Децентрализованные финансы.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
10 Лайков
Награда
10
8
Поделиться
комментарий
0/400
ImpermanentPhilosopher
· 07-04 19:09
Все говорят о KYC, а тут такое происходит?
Посмотреть ОригиналОтветить0
gaslight_gasfeez
· 07-04 15:18
Опять проект, который разыгрывают людей как лохов, печально.
Посмотреть ОригиналОтветить0
RugpullSurvivor
· 07-04 07:41
Снова день, когда меня клиповые купоны.
Посмотреть ОригиналОтветить0
CryptoComedian
· 07-04 07:41
Смех неудачников, когда на цепочку выводят аудит, который даже собаки не проверяют.
Посмотреть ОригиналОтветить0
TrustMeBro
· 07-04 07:35
Извините, финансовые про.
Посмотреть ОригиналОтветить0
All-InQueen
· 07-04 07:26
Безопасность, безопасность, все равно перевернулись.
Посмотреть ОригиналОтветить0
TommyTeacher
· 07-04 07:22
Все еще притворяется незнакомцем?
Посмотреть ОригиналОтветить0
SerumDegen
· 07-04 07:16
ngmi... еще один Протокол теряет из-за отсутствия управления рисками smh
Cetus遭Хакер攻击:Децентрализованные финансы安全盲点与金融风控意识缺失
Анализ инцидента с хакерской атакой на Cetus: слепые зоны и размышления о безопасности Децентрализованных финансов
Недавно одна из платформ DEX подверглась атаке хакеров, что вызвало широкое внимание в индустрии. Платформа затем выпустила подробный отчет о событиях, однако при внимательном чтении можно заметить интересное явление: отчет демонстрирует отличные результаты в технических деталях и экстренных мерах, но при объяснении коренных причин атаки оказывается несколько сдержанным.
Отчет подчеркивает ошибки проверки функции checked_shlw в библиотеке integer-mate (фактический диапазон проверки больше ожидаемого) и квалифицирует это как "семантическое недоразумение". Хотя это описание технически неоспоримо, оно, похоже, намеренно смещает акцент на внешние факторы, снижая ответственность самой платформы.
Однако более глубокий анализ покажет, что для успешной реализации этой атаки необходимо одновременно выполнить четыре условия: неправильная проверка переполнения, значительные операции смещения, правила округления вверх и отсутствие проверки экономической целесообразности. Удивительно, но на каждой ключевой точке этой платформы были упущения.
Более важно задуматься, почему платформа позволяет вводить такие неразумные астрономические числа? Почему при расчете абсурдного обменного курса не сработала ни одна тревога? Эти вопросы указывают на недостатки команды проекта в управлении рисками и финансовой грамотности.
Данный инцидент выявил проблемы, которые выходят далеко за рамки технического уровня. Он подчеркивает системные недостатки безопасности, распространенные в индустрии Децентрализованных финансов: команды с чисто техническим фоном часто не имеют необходимого осознания финансовых рисков.
В связи с этим мы рекомендуем командам проектов Децентрализованные финансы:
Это напоминает нам, что с развитием отрасли чистые технические ошибки могут постепенно уменьшаться, но "ошибки осознания" в бизнес-логике станут большей проблемой. Безусловно, безопасность аудита важна, но как гарантировать, что "логика имеет границы", требует от проектных команд более глубокого понимания и контроля над сутью бизнеса.
Будущее области Децентрализованные финансы будет определяться командами, которые не только обладают крепкими техническими навыками, но и глубоко понимают бизнес-логику. Это событие, безусловно, стало призывом к пробуждению для всей отрасли, призывая нас переосмыслить суть безопасности Децентрализованные финансы.