O Cetus Protocol lançou recentemente um relatório de revisão de segurança sobre um ataque hacker, provocando uma profunda reflexão na indústria sobre questões de segurança em Finanças Descentralizadas. O relatório detalha os aspectos técnicos e o processo de resposta a emergências, mas ao explicar a origem do ataque, é ligeiramente vago.
O relatório concentra-se na verificação de erros da função checked_shlw da biblioteca integer-mate, considerando-a um problema de "mal-entendido semântico". No entanto, essa explicação parece simplificar demais a natureza do evento.
Analisando cuidadosamente o caminho de ataque do hacker, descobrimos que o atacante precisa explorar simultaneamente quatro condições para ter sucesso: verificação de estouro incorreta, operações de deslocamento significativas, regra de arredondamento para cima e falta de verificação de viabilidade econômica. Surpreendentemente, a Cetus apresenta vulnerabilidades óbvias em cada uma dessas etapas.
Este incidente expôs sérias deficiências da equipe Cetus em várias áreas:
A consciência de segurança da cadeia de suprimentos é fraca. Embora sejam utilizadas bibliotecas de código aberto amplamente aplicadas, ao gerenciar grandes ativos, não foi possível compreender plenamente os limites de segurança e os riscos potenciais dessa biblioteca.
Falta de limites de entrada razoáveis. Permitir a entrada de números astronômicos não convencionais, sem definir condições de limite apropriadas, demonstra a falta de consciência sobre gestão de riscos.
Equívocos sobre a auditoria de segurança. Confiar excessivamente em auditorias de segurança de terceiros, ignorando a própria responsabilidade pela segurança do sistema.
Este incidente não é apenas um problema da Cetus, mas reflete uma deficiência sistêmica de segurança que existe em toda a indústria de Finanças Descentralizadas. Muitas equipes dependem excessivamente do pensamento puramente técnico, carecendo da necessária consciência de risco financeiro.
Para aumentar a segurança geral dos projetos DeFi, recomenda-se a adoção das seguintes medidas:
Introduzir especialistas em gestão de riscos financeiros, para compensar as lacunas de conhecimento da equipe técnica na área financeira.
Estabelecer um mecanismo de auditoria multifacetado, que não só se concentre na auditoria de código, mas também dê importância à auditoria do modelo econômico.
Cultivar o "instinto financeiro" da equipe, simulando vários cenários de ataque possíveis e elaborando medidas de resposta.
Manter sempre vigilância sobre operações anormais e estabelecer um mecanismo eficaz de alerta de riscos.
Com o contínuo desenvolvimento da indústria de Finanças Descentralizadas, os Bugs técnicos puros podem gradualmente diminuir, mas os "Bugs de consciência" na lógica de negócios se tornarão um desafio maior. Os projetos de Finanças Descentralizadas do futuro não só precisam de uma sólida competência técnica, mas também de equipes que tenham uma compreensão profunda da essência do negócio e habilidades de controle precisas. Apenas com uma combinação profunda de tecnologia e negócios será possível manter a competitividade e a segurança neste campo em rápido desenvolvimento.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
26 Curtidas
Recompensa
26
9
Compartilhar
Comentário
0/400
AllInAlice
· 07-13 15:24
Que merda, ainda estão a rever isso. Todos os dias é um golpe crítico.
Ver originalResponder0
BlockchainGriller
· 07-13 04:32
Com essa segurança, nem se compara à fiabilidade dos meus espetos.
Ver originalResponder0
GateUser-4745f9ce
· 07-11 20:38
Os hackers do nosso círculo merecem enriquecer.
Ver originalResponder0
ShibaOnTheRun
· 07-11 14:55
Verificações de overflow sempre dão problemas, realmente é uma incompetência assim.
Ver originalResponder0
MechanicalMartel
· 07-10 16:19
Esta auditoria não foi feita por estagiários, pois não?
Ver originalResponder0
OnchainArchaeologist
· 07-10 16:11
Parece que o Cetus foi muito maltratado.
Ver originalResponder0
JustHereForAirdrops
· 07-10 16:07
Não consegue passar pela auditoria? E ainda assim vai para a blockchain?
Ver originalResponder0
AirdropChaser
· 07-10 16:03
É fácil perceber que alguém foi enganado. Criar peixes, ah, criar peixes.
Ver originalResponder0
GateUser-beba108d
· 07-10 15:59
Se transbordar, que transborde. Não precisa de tantas justificações.
Análise da vulnerabilidade do Cetus revela lacunas sistêmicas de segurança na indústria de Finanças Descentralizadas
O Cetus Protocol lançou recentemente um relatório de revisão de segurança sobre um ataque hacker, provocando uma profunda reflexão na indústria sobre questões de segurança em Finanças Descentralizadas. O relatório detalha os aspectos técnicos e o processo de resposta a emergências, mas ao explicar a origem do ataque, é ligeiramente vago.
O relatório concentra-se na verificação de erros da função checked_shlw da biblioteca integer-mate, considerando-a um problema de "mal-entendido semântico". No entanto, essa explicação parece simplificar demais a natureza do evento.
Analisando cuidadosamente o caminho de ataque do hacker, descobrimos que o atacante precisa explorar simultaneamente quatro condições para ter sucesso: verificação de estouro incorreta, operações de deslocamento significativas, regra de arredondamento para cima e falta de verificação de viabilidade econômica. Surpreendentemente, a Cetus apresenta vulnerabilidades óbvias em cada uma dessas etapas.
Este incidente expôs sérias deficiências da equipe Cetus em várias áreas:
A consciência de segurança da cadeia de suprimentos é fraca. Embora sejam utilizadas bibliotecas de código aberto amplamente aplicadas, ao gerenciar grandes ativos, não foi possível compreender plenamente os limites de segurança e os riscos potenciais dessa biblioteca.
Falta de limites de entrada razoáveis. Permitir a entrada de números astronômicos não convencionais, sem definir condições de limite apropriadas, demonstra a falta de consciência sobre gestão de riscos.
Equívocos sobre a auditoria de segurança. Confiar excessivamente em auditorias de segurança de terceiros, ignorando a própria responsabilidade pela segurança do sistema.
Este incidente não é apenas um problema da Cetus, mas reflete uma deficiência sistêmica de segurança que existe em toda a indústria de Finanças Descentralizadas. Muitas equipes dependem excessivamente do pensamento puramente técnico, carecendo da necessária consciência de risco financeiro.
Para aumentar a segurança geral dos projetos DeFi, recomenda-se a adoção das seguintes medidas:
Com o contínuo desenvolvimento da indústria de Finanças Descentralizadas, os Bugs técnicos puros podem gradualmente diminuir, mas os "Bugs de consciência" na lógica de negócios se tornarão um desafio maior. Os projetos de Finanças Descentralizadas do futuro não só precisam de uma sólida competência técnica, mas também de equipes que tenham uma compreensão profunda da essência do negócio e habilidades de controle precisas. Apenas com uma combinação profunda de tecnologia e negócios será possível manter a competitividade e a segurança neste campo em rápido desenvolvimento.