Cetus a été attaqué par des hackers, exposant les doubles faiblesses techniques et de gestion financière des projets de Finance décentralisée.

Le protocole Cetus a récemment publié un rapport de sécurité suite à une attaque de hacker. Ce rapport est assez transparent dans la divulgation des détails techniques et des réponses d'urgence, mais il semble réservé lorsqu'il s'agit d'expliquer les causes fondamentales de l'attaque.

Le rapport met l'accent sur l'erreur de vérification de la fonction checked_shlw dans la bibliothèque integer-mate, la qualifiant de "malentendu sémantique". Bien que cette affirmation ne pose pas de problème technique, elle semble intentionnellement détourner l'attention des facteurs externes.

Cependant, une analyse approfondie des chemins d'attaque révèle que pour qu'un Hacker réussisse son attaque, plusieurs conditions doivent être remplies simultanément : des vérifications de débordement incorrectes, des décalages de bits massifs, des règles d'arrondi vers le haut et un manque de vérification de la viabilité économique. Cetus présente des négligences évidentes à chaque étape, comme l'acceptation d'entrées de valeurs extrêmement élevées, l'utilisation d'opérations de décalage dangereuses, une dépendance excessive aux vérifications des bibliothèques externes, et surtout, l'absence de vérifications de bon sens lors du calcul de résultats déraisonnables.

Cela met en évidence les lacunes de l'équipe Cetus dans plusieurs domaines :

1. La sensibilisation à la sécurité de la chaîne d'approvisionnement est faible. Bien que des bibliothèques open source largement utilisées aient été employées, leurs limites de sécurité et les risques potentiels n'ont pas été pleinement compris.

2. Manque de talents en gestion des risques financiers. Permettre l'entrée de chiffres astronomiques irréalistes montre que l'équipe manque d'intuition financière de base.

3. Dépendance excessive à l'audit de sécurité. Externaliser la responsabilité de la sécurité à des entreprises d'audit néglige l'importance de la validation des frontières interdisciplinaires.

Cela reflète un problème courant dans l'industrie DeFi : les équipes techniques manquent souvent de conscience des risques financiers. Pour relever ce défi, les projets DeFi doivent :

• Introduire des experts en gestion des risques financiers pour combler les lacunes de connaissances de l'équipe technique.
• Établir un mécanisme de révision par plusieurs parties, qui devrait inclure, en plus de l'audit de code, un audit du modèle économique.
• Développer un "sens financier", simuler divers scénarios d'attaque et élaborer des mesures de réponse.

Avec le développement de l'industrie, les failles purement techniques pourraient diminuer progressivement, mais les "failles de conscience" dans la logique métier deviendront un plus grand défi. Les audits de sécurité peuvent garantir que le code est correct, mais comprendre les limites de l'entreprise nécessite une compréhension plus profonde de la nature des affaires par l'équipe.

Le succès futur dans le domaine de la DeFi appartiendra à ceux qui ont non seulement des compétences techniques solides, mais aussi une profonde compréhension de la logique commerciale. Ils doivent maintenir leur avantage technique tout en améliorant constamment leur compréhension et leur capacité à gérer les risques financiers.