Cetus遭Hacker攻击暴露Tài chính phi tập trung项目技术与金融风控双重短板

Giao thức Cetus gần đây đã công bố một báo cáo an ninh "phân tích" sau khi bị tấn công bởi hacker. Báo cáo này có sự công khai khá rõ ràng về các chi tiết kỹ thuật và phản ứng khẩn cấp, nhưng lại có vẻ giữ kín khi giải thích nguyên nhân cơ bản của cuộc tấn công.

Báo cáo tập trung mô tả lỗi kiểm tra của hàm checked_shlw trong thư viện integer-mate, coi đó là "hiểu sai về ngữ nghĩa". Mặc dù phát biểu này về mặt kỹ thuật không có vấn đề gì, nhưng có vẻ như cố tình chuyển trọng tâm sang các yếu tố bên ngoài.

Tuy nhiên, khi phân tích kỹ lưỡng đường tấn công, có thể thấy rằng việc tấn công thành công của hacker cần phải đáp ứng nhiều điều kiện: kiểm tra tràn số không chính xác, phép toán dịch bit lớn, quy tắc làm tròn lên và thiếu kiểm tra tính hợp lý về kinh tế. Cetus có những sơ hở rõ ràng ở mỗi giai đoạn, chẳng hạn như chấp nhận đầu vào số lớn, sử dụng phép toán dịch bit nguy hiểm, quá phụ thuộc vào kiểm tra thư viện bên ngoài, và điều quan trọng nhất là không thực hiện kiểm tra hợp lý khi tính toán ra kết quả không hợp lý.

Điều này phơi bày những thiếu sót của đội ngũ Cetus trong một số khía cạnh:

1. Nhận thức về an ninh chuỗi cung ứng còn yếu. Mặc dù đã sử dụng các thư viện mã nguồn mở phổ biến, nhưng chưa hiểu đầy đủ về ranh giới an ninh và các rủi ro tiềm ẩn của chúng.

2. Thiếu nhân tài quản lý rủi ro tài chính. Việc cho phép nhập những con số thiên văn không thực tế cho thấy đội ngũ thiếu trực giác tài chính cơ bản.

3. Lạm dụng quá mức vào kiểm toán an ninh. Việc chuyển giao trách nhiệm an ninh cho công ty kiểm toán đã bỏ qua tầm quan trọng của việc xác minh qua các ranh giới liên ngành.

Điều này phản ánh một vấn đề phổ biến trong ngành DeFi: các đội ngũ kỹ thuật thường thiếu nhận thức về rủi ro tài chính. Để đối phó với thách thức này, các dự án DeFi cần:

• Mời chuyên gia quản lý rủi ro tài chính, bù đắp cho những khoảng trống kiến thức của đội ngũ kỹ thuật.
• Thiết lập cơ chế kiểm tra đa bên, ngoài kiểm toán mã, còn nên bao gồm kiểm toán mô hình kinh tế.
• Nuôi dưỡng "khứu giác tài chính", mô phỏng các tình huống tấn công khác nhau và xây dựng các biện pháp ứng phó.

Theo sự phát triển của ngành, các lỗ hổng ở mức độ kỹ thuật thuần túy có thể sẽ giảm dần, nhưng "lỗ hổng nhận thức" trong logic kinh doanh sẽ trở thành thách thức lớn hơn. Kiểm toán an ninh có thể đảm bảo rằng mã không có lỗi, nhưng việc nắm bắt ranh giới kinh doanh thì cần đội ngũ có hiểu biết sâu sắc hơn về bản chất của kinh doanh.

Thành công trong lĩnh vực DeFi trong tương lai sẽ thuộc về những đội ngũ không chỉ có kỹ thuật tốt mà còn am hiểu logic kinh doanh. Họ cần duy trì lợi thế công nghệ trong khi không ngừng nâng cao hiểu biết và khả năng kiểm soát rủi ro tài chính.