Cetus Protocol recientemente publicó un informe de análisis de seguridad sobre un ataque de hacker, lo que ha llevado a una profunda reflexión en la industria sobre los problemas de seguridad en Finanzas descentralizadas. El informe detalla los aspectos técnicos y el proceso de respuesta de emergencia, pero es algo vago al explicar la raíz del ataque.
El informe se centra en la verificación de errores de la función checked_shlw de la biblioteca integer-mate, considerándola un problema de "malentendido semántico". Sin embargo, esta interpretación parece simplificar en exceso la naturaleza del evento.
Al analizar detenidamente la ruta de ataque del hacker, descubrimos que el atacante necesita aprovechar cuatro condiciones simultáneamente para tener éxito: una verificación de desbordamiento incorrecta, cálculos de desplazamiento significativos, reglas de redondeo hacia arriba y la falta de verificación de razonabilidad económica. Lo sorprendente es que Cetus presenta vulnerabilidades evidentes en cada uno de estos aspectos.
Este incidente expone las graves deficiencias del equipo de Cetus en los siguientes aspectos:
La conciencia sobre la seguridad de la cadena de suministro es débil. A pesar de utilizar bibliotecas de código abierto y ampliamente aplicadas, al gestionar grandes activos, no se ha logrado comprender adecuadamente los límites de seguridad de la biblioteca y los riesgos potenciales.
Falta de límites de entrada razonables. Se permite la entrada de números astronómicos no convencionales y no se han establecido condiciones de límite apropiadas, lo que muestra una falta de conciencia en la gestión de riesgos.
Malentendidos sobre la auditoría de seguridad. Depender en exceso de auditorías de seguridad de terceros, ignorando la responsabilidad propia sobre la seguridad del sistema.
Este incidente no es solo un problema de Cetus, sino que refleja una deficiencia sistemática de seguridad que existe en toda la industria de las Finanzas descentralizadas. Muchos equipos dependen demasiado del pensamiento puramente técnico y carecen de la conciencia necesaria sobre los riesgos financieros.
Para mejorar la seguridad general de los proyectos de Finanzas descentralizadas, se recomienda adoptar las siguientes medidas:
Introducir expertos en gestión de riesgos financieros para cubrir las lagunas de conocimiento del equipo técnico en el ámbito financiero.
Establecer un mecanismo de auditoría múltiple, no solo centrarse en la auditoría de código, sino también en la auditoría del modelo económico.
Cultivar el "olfato financiero" del equipo, simular varios escenarios de ataque posibles y desarrollar medidas de respuesta.
Mantener siempre la vigilancia sobre operaciones anómalas y establecer un mecanismo efectivo de alerta de riesgos.
Con el continuo desarrollo de la industria de Finanzas descentralizadas, los errores técnicos puros pueden ir disminuyendo gradualmente, pero los "errores de conciencia" en la lógica del negocio se convertirán en un desafío mayor. Los futuros proyectos de Finanzas descentralizadas no solo necesitarán una sólida capacidad técnica, sino también un equipo con una comprensión profunda de la naturaleza del negocio y la capacidad de control preciso. Solo combinando la tecnología con la profundización del negocio se podrá mantener la competitividad y la seguridad en este campo de rápido desarrollo.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
26 me gusta
Recompensa
26
9
Compartir
Comentar
0/400
AllInAlice
· 07-13 15:24
¿Qué demonios? ¿Todavía revisando? Todos los días son golpes críticos.
Ver originalesResponder0
BlockchainGriller
· 07-13 04:32
Con esta seguridad, realmente no es más confiable que mis brochetas.
Ver originalesResponder0
GateUser-4745f9ce
· 07-11 20:38
Los hackers de nuestro círculo merecen hacerse ricos.
Ver originalesResponder0
ShibaOnTheRun
· 07-11 14:55
La verificación de desbordamiento siempre tiene problemas, realmente es muy malo.
Ver originalesResponder0
MechanicalMartel
· 07-10 16:19
¿Esta auditoría no será que la hizo un pasante?
Ver originalesResponder0
OnchainArchaeologist
· 07-10 16:11
Parece que Cetus ha sido despojado demasiado.
Ver originalesResponder0
JustHereForAirdrops
· 07-10 16:07
¿No se puede aprobar ni un agujero? ¿Y esto todavía se pone en la cadena?
Ver originalesResponder0
AirdropChaser
· 07-10 16:03
Una vez que lo ves, sabes que has sido pescado, mantener peces, ah mantener peces.
Ver originalesResponder0
GateUser-beba108d
· 07-10 15:59
Si se desborda, que se desborde. No pongas tantas excusas.
Revisión de la vulnerabilidad de Cetus revela las deficiencias de seguridad sistémica en el sector de Finanzas descentralizadas.
Cetus Protocol recientemente publicó un informe de análisis de seguridad sobre un ataque de hacker, lo que ha llevado a una profunda reflexión en la industria sobre los problemas de seguridad en Finanzas descentralizadas. El informe detalla los aspectos técnicos y el proceso de respuesta de emergencia, pero es algo vago al explicar la raíz del ataque.
El informe se centra en la verificación de errores de la función checked_shlw de la biblioteca integer-mate, considerándola un problema de "malentendido semántico". Sin embargo, esta interpretación parece simplificar en exceso la naturaleza del evento.
Al analizar detenidamente la ruta de ataque del hacker, descubrimos que el atacante necesita aprovechar cuatro condiciones simultáneamente para tener éxito: una verificación de desbordamiento incorrecta, cálculos de desplazamiento significativos, reglas de redondeo hacia arriba y la falta de verificación de razonabilidad económica. Lo sorprendente es que Cetus presenta vulnerabilidades evidentes en cada uno de estos aspectos.
Este incidente expone las graves deficiencias del equipo de Cetus en los siguientes aspectos:
La conciencia sobre la seguridad de la cadena de suministro es débil. A pesar de utilizar bibliotecas de código abierto y ampliamente aplicadas, al gestionar grandes activos, no se ha logrado comprender adecuadamente los límites de seguridad de la biblioteca y los riesgos potenciales.
Falta de límites de entrada razonables. Se permite la entrada de números astronómicos no convencionales y no se han establecido condiciones de límite apropiadas, lo que muestra una falta de conciencia en la gestión de riesgos.
Malentendidos sobre la auditoría de seguridad. Depender en exceso de auditorías de seguridad de terceros, ignorando la responsabilidad propia sobre la seguridad del sistema.
Este incidente no es solo un problema de Cetus, sino que refleja una deficiencia sistemática de seguridad que existe en toda la industria de las Finanzas descentralizadas. Muchos equipos dependen demasiado del pensamiento puramente técnico y carecen de la conciencia necesaria sobre los riesgos financieros.
Para mejorar la seguridad general de los proyectos de Finanzas descentralizadas, se recomienda adoptar las siguientes medidas:
Con el continuo desarrollo de la industria de Finanzas descentralizadas, los errores técnicos puros pueden ir disminuyendo gradualmente, pero los "errores de conciencia" en la lógica del negocio se convertirán en un desafío mayor. Los futuros proyectos de Finanzas descentralizadas no solo necesitarán una sólida capacidad técnica, sino también un equipo con una comprensión profunda de la naturaleza del negocio y la capacidad de control preciso. Solo combinando la tecnología con la profundización del negocio se podrá mantener la competitividad y la seguridad en este campo de rápido desarrollo.