Cetus kerentanan diulas Mengungkap kekurangan sistemik keamanan industri Keuangan Desentralisasi

Cetus Protocol baru-baru ini merilis laporan pemulihan keamanan terkait serangan hacker, yang memicu pemikiran mendalam di dalam industri tentang masalah keamanan DeFi. Laporan tersebut mengungkapkan secara rinci rincian teknis dan proses tanggap darurat, tetapi sedikit kurang jelas dalam menjelaskan akar penyebab serangan.

Laporan ini memfokuskan perhatian pada pemeriksaan kesalahan fungsi checked_shlw dari pustaka integer-mate, menganggap ini sebagai masalah "kesalahpahaman semantik". Namun, penjelasan ini tampaknya menyederhanakan esensi peristiwa.

Dengan menganalisis dengan cermat jalur serangan hacker, kami menemukan bahwa penyerang perlu memanfaatkan empat kondisi secara bersamaan untuk berhasil: pemeriksaan overflow yang salah, operasi pergeseran yang besar, aturan pembulatan ke atas, dan kurangnya verifikasi kelayakan ekonomi. Yang mengejutkan, Cetus memiliki celah yang jelas di setiap tahap ini.

Kejadian ini mengungkapkan kekurangan serius tim Cetus dalam beberapa aspek berikut:

1. Kesadaran keamanan rantai pasokan yang lemah. Meskipun menggunakan pustaka sumber terbuka yang banyak digunakan, namun dalam mengelola aset besar, tidak dapat sepenuhnya memahami batasan keamanan pustaka tersebut dan potensi risikonya.

2. Kurangnya batasan input yang wajar. Membiarkan input angka astronomis yang tidak biasa, tanpa menetapkan kondisi batas yang tepat, menunjukkan kurangnya kesadaran manajemen risiko.

3. Kesalahpahaman tentang audit keamanan. Terlalu bergantung pada audit keamanan pihak ketiga, mengabaikan tanggung jawab sendiri terhadap keamanan sistem.

Peristiwa ini bukan hanya masalah Cetus, tetapi mencerminkan kelemahan keamanan sistemik yang umum ada di seluruh industri Keuangan Desentralisasi. Banyak tim terlalu bergantung pada pemikiran teknis murni, kurang memiliki kesadaran risiko keuangan yang diperlukan.

Untuk meningkatkan keselamatan keseluruhan proyek DeFi, disarankan untuk mengambil langkah-langkah berikut:

1. Mengundang pakar manajemen risiko keuangan untuk mengisi kekurangan pengetahuan tim teknis di bidang keuangan.
2. Membangun mekanisme audit multi-pihak, tidak hanya fokus pada audit kode, tetapi juga harus memperhatikan audit model ekonomi.
3. Mengembangkan "indera keuangan" tim, mensimulasikan berbagai skenario serangan yang mungkin terjadi dan menyusun langkah-langkah untuk menghadapinya.
4. Selalu waspada terhadap operasi yang tidak biasa, dan bangun mekanisme peringatan risiko yang efektif.

Seiring dengan perkembangan industri DeFi yang terus menerus, Bug teknis murni mungkin akan berkurang, tetapi "Bug kesadaran" dalam logika bisnis akan menjadi tantangan yang lebih besar. Proyek DeFi di masa depan tidak hanya membutuhkan kemampuan teknis yang kuat, tetapi juga tim yang memiliki pemahaman mendalam dan kemampuan pengendalian yang akurat terhadap esensi bisnis. Hanya dengan menggabungkan teknologi dan bisnis secara mendalam, kita dapat mempertahankan daya saing dan keamanan di bidang yang berkembang pesat ini.