Cetus, hacker saldırısına uğradı ve DeFi projesinin teknik ve finansal risk yönetimi açısından iki katmanlı zayıflıklarını ortaya çıkardı.

Cetus protokolü son zamanlarda bir hacker saldırısına uğradıktan sonra bir güvenlik "değerlendirme" raporu yayınladı. Bu rapor, teknik detaylar ve acil yanıt konusundaki açıklamaları oldukça şeffafken, saldırının temel nedenini açıklamakta bir parça çekingen davranıyor.

Rapor, integer-mate kütüphanesindeki checked_shlw fonksiyonunun hata kontrolünü "anlamsal yanlış anlama" olarak nitelendiriyor. Bu ifade teknik olarak bir sorun teşkil etmese de, dış faktörlere dikkat çekmeye yönelik bir niyet taşıyor gibi görünüyor.

Ancak, saldırı yollarını dikkatlice analiz ettiğimizde, hackerların başarılı bir saldırı gerçekleştirebilmesi için birden fazla koşulun aynı anda sağlanması gerektiği görülmektedir: hatalı taşma kontrolü, büyük kaydırma işlemleri, yukarı yuvarlama kuralları ve ekonomik mantık doğrulamasının eksikliği. Cetus, her aşamada belirgin bir ihmal göstermektedir; örneğin, büyük sayısal girişler kabul etmekte, tehlikeli kaydırma işlemleri kullanmakta, dış kütüphane kontrollerine aşırı derecede bağımlı kalmakta ve en kritik olarak, mantıksız sonuçlar hesaplandığında sağduyulu bir doğrulama yapmamaktadır.

Bu, Cetus ekibinin birkaç alandaki eksikliklerini ortaya koyuyor:

1. Tedarik zinciri güvenliği bilinci zayıf. Yaygın olarak kullanılan açık kaynak kütüphaneleri kullanılmasına rağmen, güvenlik sınırları ve potansiyel riskleri tam olarak anlaşılamamıştır.

2. Finansal risk yönetimi uzmanlarının eksikliği. Gerçekçi olmayan astronomik rakamların girilmesine izin vermek, ekibin temel finansal sezgiden yoksun olduğunu göstermektedir.

3. Güvenlik denetimine aşırı bağımlılık. Güvenlik sorumluluğunu denetim şirketlerine devretmek, disiplinler arası sınırları doğrulamanın önemini göz ardı etmektedir.

Bu, DeFi endüstrisinde yaygın bir sorun olan durumu yansıtıyor: teknik ekipler genellikle yeterli finansal risk bilincine sahip değiller. Bu zorlukla başa çıkmak için DeFi projelerinin ihtiyaçları var:

• Finansal risk kontrol uzmanları getirerek, teknik ekibin bilgi boşluklarını kapatmak.
• Çok taraflı bir inceleme mekanizması oluşturulmalı, kod denetiminin yanı sıra ekonomik model denetimi de dahil edilmelidir.
• "Finans kokusu" geliştirmek, çeşitli saldırı senaryolarını simüle etmek ve karşı önlemler belirlemek.

Sektörün gelişmesiyle birlikte, saf teknik tabandaki açıklar giderek azalabilir, ancak iş mantığındaki "farkındalık açıkları" daha büyük bir zorluk haline gelecektir. Güvenlik denetimleri kodun hatasız olmasını sağlayabilir, ancak iş sınırlarını anlamak için ekibin işin doğasına daha derin bir anlayışa sahip olması gerekmektedir.

Gelecekte DeFi alanındaki başarı, yalnızca teknik olarak güçlü olan değil, aynı zamanda iş mantığını da iyi bilen ekiplerin olacaktır. Bu ekipler, teknik avantajlarını korurken, finansal riskleri anlama ve yönetme yeteneklerini sürekli olarak geliştirmelidir.