Cetus Protocol a récemment publié un rapport de retour d'expérience sur la sécurité des attaques de hackers, suscitant une réflexion approfondie dans l'industrie sur les problèmes de sécurité de la Finance décentralisée. Le rapport divulgue en détail les aspects techniques et le processus de réponse d'urgence, mais reste légèrement flou lors de l'explication des origines de l'attaque.
Le rapport met l'accent sur la vérification des erreurs de la fonction checked_shlw de la bibliothèque integer-mate, la considérant comme un problème de "malentendu sémantique". Cependant, cette interprétation semble simplifier à l'excès la nature de l'événement.
En analysant en détail le chemin d'attaque du Hacker, nous avons découvert que l'attaquant doit exploiter simultanément quatre conditions pour réussir : une vérification de débordement incorrecte, des opérations de décalage importantes, des règles d'arrondi et un manque de vérification de la viabilité économique. Étonnamment, Cetus présente des vulnérabilités évidentes à chaque étape.
Cet événement a révélé de graves lacunes de l'équipe Cetus dans les domaines suivants :
La sensibilisation à la sécurité de la chaîne d'approvisionnement est faible. Bien que des bibliothèques open source largement utilisées aient été utilisées, la gestion d'énormes actifs n'a pas permis de comprendre pleinement les limites de sécurité et les risques potentiels de cette bibliothèque.
Manque de limites d'entrée raisonnables. Autoriser l'entrée de nombres astronomiques non conventionnels sans définir de conditions limites appropriées montre un manque de sensibilisation à la gestion des risques.
Les idées reçues sur l'audit de sécurité. Une dépendance excessive à l'égard des audits de sécurité tiers, négligeant sa propre responsabilité en matière de sécurité du système.
Cet événement n'est pas seulement un problème de Cetus, il reflète une lacune systémique de sécurité qui existe dans l'ensemble de l'industrie de la Finance décentralisée. De nombreuses équipes s'appuient trop sur une pensée purement technique, manquant de la conscience nécessaire des risques financiers.
Pour améliorer la sécurité globale des projets DeFi, il est recommandé de prendre les mesures suivantes :
Introduire des experts en gestion des risques financiers pour combler les lacunes de connaissances de l'équipe technique dans le domaine financier.
Établir un mécanisme d'audit multipartite, en mettant non seulement l'accent sur l'audit de code, mais aussi sur l'audit du modèle économique.
Développer le "sens financier" de l'équipe, simuler divers scénarios d'attaque possibles et élaborer des mesures de réponse.
Restez toujours vigilant face aux opérations anormales et mettez en place un mécanisme efficace d'alerte au risque.
Avec le développement continu de l'industrie de la Finance décentralisée, les bugs techniques purs pourraient diminuer progressivement, mais les "bugs de conscience" dans la logique commerciale deviendront un défi plus important. Les futurs projets de Finance décentralisée auront non seulement besoin d'une solide expertise technique, mais aussi d'équipes capables de comprendre en profondeur la nature des affaires et de la maîtriser avec précision. Ce n'est qu'en combinant profondément la technique et les affaires qu'il sera possible de maintenir la compétitivité et la sécurité dans ce domaine en rapide évolution.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
26 J'aime
Récompense
26
9
Partager
Commentaire
0/400
AllInAlice
· 07-13 15:24
Des conneries, ils vérifient quoi ? C'est des critiques tous les jours.
Voir l'originalRépondre0
BlockchainGriller
· 07-13 04:32
Avec cette sécurité, c'est vraiment moins fiable que mes brochettes.
Voir l'originalRépondre0
GateUser-4745f9ce
· 07-11 20:38
Les hackers de notre communauté méritent de s'enrichir.
Voir l'originalRépondre0
ShibaOnTheRun
· 07-11 14:55
Les vérifications de débordement posent toujours problème, c'est vraiment devenu nul.
Voir l'originalRépondre0
MechanicalMartel
· 07-10 16:19
Cette audit n'est pas faite par un stagiaire, n'est-ce pas?
Voir l'originalRépondre0
OnchainArchaeologist
· 07-10 16:11
Il semble que Cetus ait été trop pelé.
Voir l'originalRépondre0
JustHereForAirdrops
· 07-10 16:07
On ne peut même pas passer l'audit ? C'est ça qui est mis sur la chaîne.
Voir l'originalRépondre0
AirdropChaser
· 07-10 16:03
On sait tout de suite qu'on a été pêché. Élever des poissons, oui, élever des poissons.
Voir l'originalRépondre0
GateUser-beba108d
· 07-10 15:59
Si ça déborde, ça déborde, pas besoin de tant de raisons.
Analyse de la vulnérabilité de Cetus : Révèle les lacunes systémiques de sécurité dans l'industrie de la Finance décentralisée.
Cetus Protocol a récemment publié un rapport de retour d'expérience sur la sécurité des attaques de hackers, suscitant une réflexion approfondie dans l'industrie sur les problèmes de sécurité de la Finance décentralisée. Le rapport divulgue en détail les aspects techniques et le processus de réponse d'urgence, mais reste légèrement flou lors de l'explication des origines de l'attaque.
Le rapport met l'accent sur la vérification des erreurs de la fonction checked_shlw de la bibliothèque integer-mate, la considérant comme un problème de "malentendu sémantique". Cependant, cette interprétation semble simplifier à l'excès la nature de l'événement.
En analysant en détail le chemin d'attaque du Hacker, nous avons découvert que l'attaquant doit exploiter simultanément quatre conditions pour réussir : une vérification de débordement incorrecte, des opérations de décalage importantes, des règles d'arrondi et un manque de vérification de la viabilité économique. Étonnamment, Cetus présente des vulnérabilités évidentes à chaque étape.
Cet événement a révélé de graves lacunes de l'équipe Cetus dans les domaines suivants :
La sensibilisation à la sécurité de la chaîne d'approvisionnement est faible. Bien que des bibliothèques open source largement utilisées aient été utilisées, la gestion d'énormes actifs n'a pas permis de comprendre pleinement les limites de sécurité et les risques potentiels de cette bibliothèque.
Manque de limites d'entrée raisonnables. Autoriser l'entrée de nombres astronomiques non conventionnels sans définir de conditions limites appropriées montre un manque de sensibilisation à la gestion des risques.
Les idées reçues sur l'audit de sécurité. Une dépendance excessive à l'égard des audits de sécurité tiers, négligeant sa propre responsabilité en matière de sécurité du système.
Cet événement n'est pas seulement un problème de Cetus, il reflète une lacune systémique de sécurité qui existe dans l'ensemble de l'industrie de la Finance décentralisée. De nombreuses équipes s'appuient trop sur une pensée purement technique, manquant de la conscience nécessaire des risques financiers.
Pour améliorer la sécurité globale des projets DeFi, il est recommandé de prendre les mesures suivantes :
Avec le développement continu de l'industrie de la Finance décentralisée, les bugs techniques purs pourraient diminuer progressivement, mais les "bugs de conscience" dans la logique commerciale deviendront un défi plus important. Les futurs projets de Finance décentralisée auront non seulement besoin d'une solide expertise technique, mais aussi d'équipes capables de comprendre en profondeur la nature des affaires et de la maîtriser avec précision. Ce n'est qu'en combinant profondément la technique et les affaires qu'il sera possible de maintenir la compétitivité et la sécurité dans ce domaine en rapide évolution.