Cetus diserang Hacker, mengungkapkan kelemahan ganda dalam teknologi dan manajemen risiko keuangan proyek Keuangan Desentralisasi.

Protokol Cetus baru-baru ini merilis laporan "tinjauan" keamanan setelah mengalami serangan Hacker. Laporan ini cukup transparan dalam pengungkapan rincian teknis dan respons darurat, tetapi tampaknya agak tertutup dalam menjelaskan penyebab dasar serangan.

Laporan tersebut menekankan kesalahan pemeriksaan pada fungsi checked_shlw dalam pustaka integer-mate, yang dikualifikasikan sebagai "kesalahpahaman semantik". Pernyataan ini meskipun secara teknis tidak bermasalah, tampaknya dengan sengaja mengalihkan fokus pada faktor eksternal.

Namun, setelah menganalisis jalur serangan dengan cermat, dapat ditemukan bahwa untuk berhasil menyerang, Hacker harus memenuhi beberapa kondisi secara bersamaan: pemeriksaan overflow yang salah, operasi pergeseran yang besar, aturan pembulatan ke atas, dan kurangnya verifikasi kelayakan ekonomi. Cetus memiliki kelalaian yang jelas di setiap langkah, seperti menerima input nilai yang sangat besar, menggunakan operasi pergeseran yang berbahaya, terlalu bergantung pada pemeriksaan pustaka eksternal, dan yang paling penting adalah tidak melakukan verifikasi akal sehat ketika hasil yang tidak masuk akal dihitung.

Ini mengungkapkan kekurangan tim Cetus dalam beberapa aspek:

1. Kesadaran keamanan rantai pasokan yang lemah. Meskipun menggunakan pustaka sumber terbuka yang banyak digunakan, tetapi tidak memahami batasan keamanan dan risiko potensialnya dengan cukup.

2. Kurangnya tenaga kerja manajemen risiko keuangan. Memungkinkan input angka astronomis yang tidak realistis, menunjukkan bahwa tim kekurangan naluri keuangan dasar.

3. Ketergantungan berlebihan pada audit keamanan. Mengalihkan tanggung jawab keamanan kepada perusahaan audit, mengabaikan pentingnya verifikasi batas lintas disiplin.

Ini mencerminkan masalah umum yang ada di industri DeFi: tim teknologi sering kali kurang memiliki kesadaran risiko keuangan yang cukup. Untuk mengatasi tantangan ini, proyek DeFi perlu:

• Mengundang ahli manajemen risiko keuangan untuk mengisi kekurangan pengetahuan tim teknis.
• Membangun mekanisme tinjauan multi-pihak, selain audit kode, juga harus mencakup audit model ekonomi.
• Mengembangkan "naluri keuangan", mensimulasikan berbagai skenario serangan dan merumuskan langkah-langkah respons.

Seiring perkembangan industri, kerentanan di tingkat teknis murni mungkin akan berkurang, tetapi "kerentanan kesadaran" dalam logika bisnis akan menjadi tantangan yang lebih besar. Audit keamanan dapat memastikan bahwa kode tidak memiliki kesalahan, tetapi bagaimana memahami batasan bisnis memerlukan tim untuk memiliki pemahaman yang lebih mendalam tentang esensi bisnis.

Keberhasilan di bidang DeFi di masa depan akan menjadi milik tim yang tidak hanya memiliki teknologi yang solid, tetapi juga memahami logika bisnis dengan baik. Mereka perlu terus meningkatkan pemahaman dan kemampuan manajemen risiko keuangan mereka sambil mempertahankan keunggulan teknologi.