Cetus sofreu um ataque de Hacker que expôs as duplas fraquezas técnicas e de gestão financeira do projeto DeFi.

Após ser alvo de um ataque de Hacker recentemente, o protocolo Cetus publicou um relatório de segurança de "revisão". Este relatório é bastante transparente na divulgação de detalhes técnicos e na resposta a emergências, mas parece ser reservado na explicação das causas fundamentais do ataque.

O relatório descreve em destaque um erro de verificação na função checked_shlw da biblioteca integer-mate, qualificando-o como "mal-entendido semântico". Embora essa afirmação não tenha problemas técnicos, parece intencionalmente desviar o foco para fatores externos.

No entanto, uma análise cuidadosa do caminho de ataque revela que, para um hacker ter sucesso no ataque, é necessário atender a várias condições simultaneamente: verificação de estouro incorreta, operações de deslocamento de bits excessivas, regras de arredondamento para cima e falta de validação de viabilidade econômica. A Cetus apresenta descuidos evidentes em cada etapa, como aceitar entradas de valores extremamente altos, usar operações de deslocamento de bits perigosas, depender excessivamente de verificações de bibliotecas externas e, o mais crítico, não realizar uma validação de senso comum ao calcular resultados irregulares.

Isto expõe as deficiências da equipe Cetus em vários aspectos:

1. A consciência de segurança da cadeia de suprimentos é fraca. Embora tenham sido utilizadas bibliotecas de código aberto amplamente aplicadas, não se compreendem adequadamente suas fronteiras de segurança e riscos potenciais.

2. Falta de talentos em gestão de risco financeiro. Permitir a entrada de números astronômicos irreais mostra que a equipe carece de intuição financeira básica.

3. Dependência excessiva de auditorias de segurança. Delegar a responsabilidade de segurança a empresas de auditoria ignora a importância da validação nas fronteiras interdisciplinares.

Isto reflete um problema comum na indústria DeFi: as equipas técnicas costumam carecer de uma consciência suficiente dos riscos financeiros. Para enfrentar este desafio, os projetos DeFi precisam de:

• Introduzir especialistas em risco financeiro para preencher as lacunas de conhecimento da equipe técnica.
• Estabelecer um mecanismo de revisão múltipla, além da auditoria de código, deve incluir também a auditoria do modelo econômico.
• Desenvolver o "instinto financeiro", simular vários cenários de ataque e elaborar medidas de resposta.

Com o desenvolvimento da indústria, as vulnerabilidades puramente técnicas podem gradualmente diminuir, mas as "vulnerabilidades de consciência" na lógica de negócios se tornarão um desafio maior. A auditoria de segurança pode garantir que o código esteja correto, mas como definir os limites de negócios requer que a equipe tenha uma compreensão mais profunda da essência do negócio.

O sucesso no futuro do setor DeFi pertence àqueles que não só têm fortes habilidades técnicas, mas também compreendem profundamente a lógica de negócios. Eles precisam, ao mesmo tempo em que mantêm a vantagem técnica, aprimorar continuamente a compreensão e a capacidade de controle dos riscos financeiros.