Cetus Protocol нещодавно опублікував звіт про безпеку після хакерської атаки, що викликало глибоку думку в галузі про проблеми безпеки Децентралізованих фінансів. У звіті детально розкрито технічні деталі та процеси реагування на надзвичайні ситуації, але при поясненні причин атаки він дещо неясний.
Звіт зосереджений на перевірці помилок функції checked_shlw бібліотеки integer-mate, вважаючи це проблемою "семантичного непорозуміння". Проте таке тлумачення, здається, занадто спрощує суть події.
Ретельно аналізуючи шлях атаки хакера, ми виявили, що атакуючому потрібно одночасно використати чотири умови для успішного виконання: помилкова перевірка переповнення, значне зсувне обчислення, правила округлення вгору та відсутність перевірки економічної доцільності. Вражає, що Cetus має очевидні вразливості на кожному з цих етапів.
Ця подія виявила серйозні недоліки команди Cetus у кількох аспектах:
Слабка свідомість щодо безпеки в ланцюгу постачання. Незважаючи на використання відкритого та широко застосовуваного програмного забезпечення, при управлінні величезними активами не вдалося повністю усвідомити межі безпеки цього програмного забезпечення та потенційні ризики.
Відсутність адекватних обмежень на введення. Дозволяє вводити нетрадиційні астрономічні числа, не встановлюючи відповідні граничні умови, що виявляє відсутність усвідомлення управління ризиками.
Уявлення про безпеку аудиту. Надмірна залежність від стороннього безпекового аудиту ігнорує власну відповідальність за безпеку системи.
Ця подія є не лише проблемою Cetus, вона відображає загальні системні безпекові недоліки, що існують у всій індустрії Децентралізовані фінанси. Багато команд надто покладаються на чисто технічне мислення, не маючи необхідної фінансової ризикової обізнаності.
Щоб підвищити загальну безпеку проектів Децентралізовані фінанси, рекомендується вжити наступні заходи:
Запросити експертів з фінансового ризик-менеджменту, щоб заповнити прогалини в знаннях технічної команди у фінансовій сфері.
Створення багатостороннього механізму аудиту, який не лише звертає увагу на аудит коду, але й підкреслює важливість аудиту економічної моделі.
Виховувати в команді "фінансовий нюх", змоделювати різні можливі сценарії атак і розробити заходи реагування.
Завжди бути насторожі щодо аномальних дій, встановити ефективний механізм ризикового попередження.
З розвитком індустрії Децентралізовані фінанси чисті технічні помилки можуть поступово зменшуватися, але "свідомі помилки" в бізнес-логіці стануть більшою проблемою. Майбутні проекти Децентралізовані фінанси потребують не лише високої технічної майстерності, але й команди з глибоким розумінням суті бізнесу та здатністю точно його контролювати. Тільки глибоке поєднання технологій та бізнесу дозволить зберегти конкурентоспроможність та безпеку в цій швидко зростаючій сфері.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
26 лайків
Нагородити
26
9
Поділіться
Прокоментувати
0/400
AllInAlice
· 07-13 15:24
Кілька разів ще перевірка, щодня це критичний удар.
Переглянути оригіналвідповісти на0
BlockchainGriller
· 07-13 04:32
З такою безпекою, це справді не надійніше, ніж мої шашлики.
Переглянути оригіналвідповісти на0
GateUser-4745f9ce
· 07-11 20:38
Ми в колі, хакери, заслуговують на багатство
Переглянути оригіналвідповісти на0
ShibaOnTheRun
· 07-11 14:55
Перевірка переповнення завжди викликає проблеми, справді погано все виглядає.
Переглянути оригіналвідповісти на0
MechanicalMartel
· 07-10 16:19
Це аудиторська перевірка, напевно, зроблена стажерами, чи не так?
Переглянути оригіналвідповісти на0
OnchainArchaeologist
· 07-10 16:11
Схоже, що Цетус занадто сильно обдерли.
Переглянути оригіналвідповісти на0
JustHereForAirdrops
· 07-10 16:07
Чи не пройде аудит навіть ця дірка? І це ще й на ланцюг виходить.
Переглянути оригіналвідповісти на0
AirdropChaser
· 07-10 16:03
Одразу видно, що тебе обманули. Вирощуй рибу, вирощуй рибу.
Переглянути оригіналвідповісти на0
GateUser-beba108d
· 07-10 15:59
Виливається, так виливається. Не вигадуй стільки причин.
Огляд вразливостей Cetus: виявлення системних недоліків безпеки в індустрії децентралізованих фінансів
Cetus Protocol нещодавно опублікував звіт про безпеку після хакерської атаки, що викликало глибоку думку в галузі про проблеми безпеки Децентралізованих фінансів. У звіті детально розкрито технічні деталі та процеси реагування на надзвичайні ситуації, але при поясненні причин атаки він дещо неясний.
Звіт зосереджений на перевірці помилок функції checked_shlw бібліотеки integer-mate, вважаючи це проблемою "семантичного непорозуміння". Проте таке тлумачення, здається, занадто спрощує суть події.
Ретельно аналізуючи шлях атаки хакера, ми виявили, що атакуючому потрібно одночасно використати чотири умови для успішного виконання: помилкова перевірка переповнення, значне зсувне обчислення, правила округлення вгору та відсутність перевірки економічної доцільності. Вражає, що Cetus має очевидні вразливості на кожному з цих етапів.
Ця подія виявила серйозні недоліки команди Cetus у кількох аспектах:
Слабка свідомість щодо безпеки в ланцюгу постачання. Незважаючи на використання відкритого та широко застосовуваного програмного забезпечення, при управлінні величезними активами не вдалося повністю усвідомити межі безпеки цього програмного забезпечення та потенційні ризики.
Відсутність адекватних обмежень на введення. Дозволяє вводити нетрадиційні астрономічні числа, не встановлюючи відповідні граничні умови, що виявляє відсутність усвідомлення управління ризиками.
Уявлення про безпеку аудиту. Надмірна залежність від стороннього безпекового аудиту ігнорує власну відповідальність за безпеку системи.
Ця подія є не лише проблемою Cetus, вона відображає загальні системні безпекові недоліки, що існують у всій індустрії Децентралізовані фінанси. Багато команд надто покладаються на чисто технічне мислення, не маючи необхідної фінансової ризикової обізнаності.
Щоб підвищити загальну безпеку проектів Децентралізовані фінанси, рекомендується вжити наступні заходи:
З розвитком індустрії Децентралізовані фінанси чисті технічні помилки можуть поступово зменшуватися, але "свідомі помилки" в бізнес-логіці стануть більшою проблемою. Майбутні проекти Децентралізовані фінанси потребують не лише високої технічної майстерності, але й команди з глибоким розумінням суті бізнесу та здатністю точно його контролювати. Тільки глибоке поєднання технологій та бізнесу дозволить зберегти конкурентоспроможність та безпеку в цій швидко зростаючій сфері.