This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Cetusがハッカーの攻撃を受け、分散型金融プロジェクトの技術と金融リスク管理の二重の弱点が露呈しました
Cetus プロトコルは最近ハッカー攻撃を受けた後、安全な"復盤"報告書を発表しました。この報告書は技術的な詳細と緊急対応に関する開示が非常に透明ですが、攻撃の根本原因の説明にはやや控えめな印象があります。
報告の重点は、integer-mateライブラリ内のchecked_shlw関数のチェックエラーを説明し、それを「意味の誤解」と定義しています。この表現は技術的には問題ありませんが、外部要因に焦点を移す意図があるように思われます。
しかし、攻撃パスを注意深く分析すると、ハッカーが成功するためには複数の条件を同時に満たす必要があることがわかります:誤ったオーバーフロー検査、大幅なシフト演算、天井ルール、および経済的合理性の検証の欠如。Cetusは各段階で明らかな怠慢があり、例えば極端な数値入力を受け入れたり、危険なシフト演算を使用したり、外部ライブラリのチェックに過度に依存したり、最も重要なのは不合理な結果を計算した際に常識的な検証を行わなかったことです。
これにより、Cetusチームのいくつかの面での不足が明らかになりました。
サプライチェーンのセキュリティ意識が薄い。広く使用されているオープンソースライブラリを使用しているが、そのセキュリティ境界や潜在的なリスクを十分に理解していない。
金融リスク管理の人材が不足している。非現実的な天文学的数字の入力を許可しており、チームが基本的な金融の直感に欠けていることを示している。
セキュリティ監査に過度に依存する。監査会社にセキュリティ責任を委託し、学際的な境界検証の重要性を無視している。
これは DeFi 業界に共通する問題を反映しています:技術チームはしばしば十分な金融リスク意識を欠いています。この課題に対処するために、DeFi プロジェクトは次のことが必要です:
業界の発展とともに、純粋な技術的な脆弱性は徐々に減少する可能性がありますが、ビジネスロジックにおける「意識の脆弱性」がより大きな課題となるでしょう。セキュリティ監査はコードの正確性を確保できますが、ビジネスの境界を把握するためには、チームがビジネスの本質をより深く理解する必要があります。
未来のDeFi分野の成功は、技術力が高いだけでなく、ビジネスロジックを深く理解しているチームに属するでしょう。彼らは技術的な優位性を維持しながら、金融リスクの理解と管理能力を常に向上させる必要があります。