Cetus sufrió un ataque de Hacker que expuso las debilidades técnicas y de gestión financiera de su proyecto de Finanzas descentralizadas.

El protocolo Cetus publicó un informe de seguridad de "revisión" después de haber sido atacado recientemente por un hacker. Este informe es bastante transparente en la divulgación de detalles técnicos y la respuesta de emergencia, pero parece ser reservado al explicar las causas fundamentales del ataque.

El informe destaca la descripción del error de verificación en la función checked_shlw de la biblioteca integer-mate, calificándolo como "malentendido semántico". Aunque esta afirmación no tiene problemas técnicos, parece que se intenta desviar la atención hacia factores externos.

Sin embargo, un análisis detallado de la ruta de ataque revela que el ataque exitoso por parte de un Hacker requiere cumplir múltiples condiciones al mismo tiempo: una verificación de desbordamiento incorrecta, operaciones de desplazamiento excesivas, reglas de redondeo hacia arriba y una falta de verificación de razonabilidad económica. Cetus presenta descuidos evidentes en cada etapa, como aceptar entradas de números extremadamente grandes, utilizar operaciones de desplazamiento peligrosas, depender en exceso de las verificaciones de bibliotecas externas y, lo más crítico, no realizar una verificación de sentido común al calcular resultados irracionales.

Esto expone las deficiencias del equipo de Cetus en varios aspectos:

1. La conciencia sobre la seguridad de la cadena de suministro es débil. Aunque se utilizan bibliotecas de código abierto ampliamente aplicadas, no se comprenden completamente sus límites de seguridad y los riesgos potenciales.

2. Falta de talento en gestión de riesgos financieros. Permitir la entrada de cifras astronómicas poco realistas muestra que el equipo carece de intuición financiera básica.

3. Dependencia excesiva de auditorías de seguridad. Externalizar la responsabilidad de seguridad a empresas de auditoría ignora la importancia de la validación de fronteras interdisciplinarias.

Esto refleja un problema común en la industria DeFi: los equipos técnicos a menudo carecen de suficiente conciencia sobre los riesgos financieros. Para abordar este desafío, los proyectos DeFi necesitan:

• Introducir expertos en control de riesgos financieros para cubrir las brechas de conocimiento del equipo técnico.
• Establecer un mecanismo de revisión múltiple, que además de la auditoría de código, también debe incluir la auditoría del modelo económico.
• Desarrollar un "olfato financiero", simular varios escenarios de ataque y elaborar medidas de respuesta.

A medida que la industria avanza, las vulnerabilidades puramente técnicas pueden ir disminuyendo, pero las "vulnerabilidades de conciencia" en la lógica de negocio se convertirán en un desafío mayor. Las auditorías de seguridad pueden asegurar que el código esté libre de errores, pero entender los límites del negocio requiere que el equipo tenga una comprensión más profunda de la esencia del negocio.

El éxito en el futuro del ámbito DeFi pertenecerá a aquellos equipos que no solo tengan una sólida base técnica, sino que también comprendan profundamente la lógica de negocio. Necesitan mantener su ventaja técnica mientras mejoran constantemente su comprensión y capacidad de gestión de riesgos financieros.