Cetus遭黑客攻擊暴露DeFi項目技術與金融風控雙重短板

Cetus 協議最近遭遇黑客攻擊後發布了一份安全"復盤"報告。這份報告在技術細節和應急響應方面的披露可謂相當透明,但在解釋攻擊根本原因時卻顯得有所保留。

報告重點描述了integer-mate庫中checked_shlw函數的檢查錯誤,將其定性爲"語義誤解"。這種說法雖然技術上沒有問題,但似乎有意將焦點轉移到外部因素上。

然而,仔細分析攻擊路徑會發現,黑客成功攻擊需要同時滿足多個條件:錯誤的溢出檢查、大幅位移運算、向上取整規則以及缺乏經濟合理性驗證。Cetus 在每個環節都存在明顯疏忽,比如接受極大數值輸入、採用危險的位移運算、過度依賴外部庫檢查,最關鍵的是在計算出不合理結果時沒有進行常識性驗證。

這暴露出 Cetus 團隊在幾個方面的不足:

  1. 供應鏈安全意識薄弱。雖然使用了廣泛應用的開源庫,但未充分了解其安全邊界和潛在風險。

  2. 缺乏金融風險管理人才。允許輸入不切實際的天文數字,顯示出團隊缺乏基本的金融直覺。

  3. 過度依賴安全審計。將安全責任外包給審計公司,忽視了跨學科邊界驗證的重要性。

這反映了 DeFi 行業普遍存在的問題:技術團隊往往缺乏足夠的金融風險意識。爲了應對這一挑戰,DeFi 項目需要:

  • 引入金融風控專家,彌補技術團隊的知識盲區。
  • 建立多方審查機制,除代碼審計外,還應包括經濟模型審計。
  • 培養"金融嗅覺",模擬各種攻擊場景並制定應對措施。

隨着行業發展,純技術層面的漏洞可能會逐漸減少,但業務邏輯中的"意識漏洞"將成爲更大挑戰。安全審計能確保代碼無誤,但如何把握業務邊界則需要團隊對業務本質有更深刻理解。

未來 DeFi 領域的成功將屬於那些不僅技術過硬,而且深諳業務邏輯的團隊。他們需要在保持技術優勢的同時,不斷提升對金融風險的理解和管控能力。

查看原文
此页面可能包含第三方内容,仅供参考(非陈述/保证),不应被视为 Gate 认可其观点表述,也不得被视为财务或专业建议。详见声明
  • 讚賞
  • 4
  • 分享
留言
0/400
Altcoin马拉松vip
· 07-08 14:55
在去中心化金融生存马拉松中的又一英里……技术债务总是迟早会追上跑者。
查看原文回復0
ThesisInvestorvip
· 07-07 07:00
技术水平就这?真不知道咋融到钱的
回復0
智能合约收藏家vip
· 07-07 07:00
不就是甩锅给库了呗
回復0
Uncle Liquidationvip
· 07-07 06:55
又甩锅给了第三方库呗
回復0
交易,隨時隨地
qrCode
掃碼下載 Gate APP
社群列表
繁體中文
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)