Cetus遭Хакер攻击暴露Децентрализованные финансы项目技术与金融风控双重短板

Cetus Протокол недавно выпустил отчет по безопасности "анализу" после того, как стал жертвой Хакера. Этот отчет довольно прозрачно раскрывает технические детали и меры реагирования, но в объяснении коренных причин атаки выглядит несколько сдержанно.

Доклад в основном описывает ошибку проверки функции checked_shlw в библиотеке integer-mate, квалифицируя её как "семантическое недопонимание". Хотя это утверждение технически не вызывает вопросов, оно, похоже, намеренно смещает акцент на внешние факторы.

Однако, при тщательном анализе атакующего пути становится очевидным, что для успешной атаки Хакер должен одновременно удовлетворять нескольким условиям: ошибочная проверка переполнения, значительное смещение, правила округления вверх и отсутствие проверки экономической обоснованности. В Cetus на каждом этапе присутствуют явные упущения, такие как принятие крайне больших значений ввода, использование опасных операций смещения, чрезмерная зависимость от проверки внешних библиотек и, что самое важное, отсутствие здравого смысла при проверке на неразумные результаты.

Это выявляет несколько недостатков команды Cetus:

1. Слабая осведомленность о безопасности цепочки поставок. Хотя используются широко применяемые открытые библиотеки, не было充分 понимания их границ безопасности и потенциальных рисков.

2. Недостаток специалистов по управлению финансовыми рисками. Позволять вводить нереалистичные астрономические цифры демонстрирует, что команде не хватает базовой финансовой интуиции.

3. Чрезмерная зависимость от аудита безопасности. Делегирование ответственности за безопасность аудиторским компаниям игнорирует важность проверки междисциплинарных границ.

Это отражает общую проблему в индустрии DeFi: технические команды часто не имеют достаточного осознания финансовых рисков. Для того чтобы справиться с этой задачей, проектам DeFi необходимо:

• Привлечение экспертов в области финансового контроля для устранения пробелов в знаниях технической команды.
• Создание многостороннего механизма проверки, помимо аудита кода, также должно включать аудит экономической модели.
• Развивать "финансовое чутье", моделируя различные сценарии атак и разрабатывая меры реагирования.

С развитием отрасли чисто технические уязвимости могут постепенно уменьшаться, но "осознанные уязвимости" в бизнес-логике станут более серьезной проблемой. Безопасный аудит может гарантировать отсутствие ошибок в коде, но для понимания границ бизнеса команде необходимо более глубокое понимание сути бизнеса.

Будущее успешного DeFi будет принадлежать тем командам, которые не только обладают сильными техническими навыками, но и глубоко понимают бизнес-логику. Им необходимо, сохраняя техническое преимущество, постоянно улучшать понимание и управление финансовыми рисками.