Cetus遭Хакер攻击暴露Децентралізовані фінанси项目技术与金融风控双重短板

Протокол Cetus нещодавно опублікував звіт з безпеки "огляд" після атаки хакера. Цей звіт виявляє досить прозоро технічні деталі та реагування на надзвичайні ситуації, але при поясненні основних причин атаки виглядає дещо стримано.

Звіт акцентує увагу на помилках перевірки функції checked_shlw в бібліотеці integer-mate, класифікуючи їх як "семантичне непорозуміння". Хоча ця заява технічно не є проблемою, вона, здається, навмисно зміщує акцент на зовнішні фактори.

Однак, детальний аналіз шляхів атаки показує, що для успішної атаки хакер повинен задовольнити кілька умов одночасно: неправильна перевірка переповнення, значні зсуви, правила округлення вгору та відсутність перевірки економічної доцільності. В Cetus на кожному етапі є очевидні недоліки, такі як прийняття дуже великих значень на вході, використання небезпечних зсувів, надмірна залежність від перевірок зовнішніх бібліотек, а найголовніше — відсутність елементарної перевірки на розумність результатів.

Це виявляє недоліки команди Cetus у кількох аспектах:

1. Слабка обізнаність щодо безпеки в ланцюгах постачання. Хоча використовуються широко застосовувані відкриті бібліотеки, але недостатньо усвідомлюються їхні межі безпеки та потенційні ризики.

2. Брак кадрів з управління фінансовими ризиками. Дозволяючи вводити нереалістичні астрономічні цифри, команда демонструє відсутність базової фінансової інтуїції.

3. Надмірна залежність від аудиту безпеки. Делегування відповідальності за безпеку аудиторським компаніям і нехтування важливістю перевірки міждисциплінарних меж.

Це відображає загальну проблему в індустрії DeFi: технічні команди часто не мають достатньої фінансової обізнаності щодо ризиків. Щоб впоратися з цим викликом, проектам DeFi потрібно:

• Запросити експертів з фінансового ризику, щоб заповнити прогалини в знаннях технічної команди.
• Створення механізму багатостороннього контролю, окрім аудиту коду, також має включати аудит економічної моделі.
• Розвивати "фінансовий нюх", моделювати різні сценарії атак і розробляти заходи реагування.

З розвитком галузі, чисто технологічні вразливості можуть поступово зменшуватися, але "свідомі вразливості" в бізнес-логіці стануть більшою проблемою. Безпековий аудит може забезпечити правильність коду, але як визначити межі бізнесу, команда повинна мати глибше розуміння сутності бізнесу.

Успіх у сфері DeFi в майбутньому належатиме тим командам, які не лише мають міцні технічні навички, а й глибоко розуміють бізнес-логіку. Вони повинні постійно підвищувати своє розуміння та здатність контролювати фінансові ризики, зберігаючи при цьому свої технічні переваги.