Cetus Protocol недавно опубликовал отчет о безопасности после хакерской атаки, что вызвало глубокие размышления в индустрии о проблемах безопасности Децентрализованных финансов. В отчете подробно изложены технические детали и процесс реагирования на чрезвычайные ситуации, но объяснение причин атаки несколько неясно.
Доклад сосредоточен на проверке ошибок функции checked_shlw библиотеки integer-mate, считая это проблемой "семантического недоразумения". Однако такое объяснение, похоже, упрощает суть события.
Тщательно анализируя путь атаки Хакера, мы обнаружили, что злоумышленнику необходимо одновременно использовать четыре условия для успешного выполнения: неверная проверка переполнения, значительные смещения, правило округления вверх и отсутствие проверки экономической целесообразности. Удивительно, но в каждом из этих этапов у Cetus есть очевидные уязвимости.
Это событие выявило серьезные недостатки команды Cetus в следующих аспектах:
Слабая осведомленность о безопасности цепочки поставок. Несмотря на использование открытых и широко применяемых библиотек, при управлении огромными активами не удалось полностью понять границы безопасности этой библиотеки и потенциальные риски.
Отсутствие разумных ограничений на ввод. Разрешение ввода необыкновенно больших чисел без установления соответствующих границ показывает отсутствие осознания управления рисками.
Ошибки восприятия безопасности аудита. Чрезмерная зависимость от сторонних аудитов безопасности игнорирует ответственность самой компании за безопасность системы.
Это событие является не только проблемой Cetus, но и отражает системные слабости безопасности, существующие в целом в индустрии Децентрализованных финансов. Многие команды слишком полагаются на чисто техническое мышление и не имеют необходимой финансовой осведомленности о рисках.
Чтобы повысить общую безопасность проектов Децентрализованные финансы, рекомендуется принять следующие меры:
Привлечение специалистов в области финансового риск-менеджмента для устранения пробелов в знаниях технической команды в финансовой области.
Создание многостороннего механизма аудита, который не только обращает внимание на аудит кода, но также придает значение аудиту экономической модели.
Развивать у команды "финансовое чутье", моделировать различные возможные сценарии атак и разрабатывать меры реагирования.
Всегда будьте бдительны к аномальным операциям и создайте эффективный механизм предупреждения о рисках.
С развитием индустрии Децентрализованные финансы чисто технические ошибки могут постепенно уменьшаться, но "осознанные ошибки" в бизнес-логике станут более серьезной проблемой. Будущие проекты Децентрализованные финансы должны не только обладать строгими техническими навыками, но и иметь команду с глубоким пониманием природы бизнеса и способностью точно контролировать его. Только глубокая интеграция технологий и бизнеса позволит сохранить конкурентоспособность и безопасность в этой быстро развивающейся области.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
26 Лайков
Награда
26
9
Поделиться
комментарий
0/400
AllInAlice
· 07-13 15:24
Какие-то проверки, каждый день всё по полной программе.
Посмотреть ОригиналОтветить0
BlockchainGriller
· 07-13 04:32
С такой безопасностью, это действительно не так надежно, как мои шашлыки.
Посмотреть ОригиналОтветить0
GateUser-4745f9ce
· 07-11 20:38
Наши хакеры заслуживают богатства
Посмотреть ОригиналОтветить0
ShibaOnTheRun
· 07-11 14:55
Проверка на переполнение всегда вызывает проблемы, действительно, я так плох.
Посмотреть ОригиналОтветить0
MechanicalMartel
· 07-10 16:19
Этот аудит, наверное, делали стажеры?
Посмотреть ОригиналОтветить0
OnchainArchaeologist
· 07-10 16:11
Похоже, что Cetus слишком сильно пострадал.
Посмотреть ОригиналОтветить0
JustHereForAirdrops
· 07-10 16:07
Разве даже дырки не проходят аудит? И это еще попадает в цепочку?
Посмотреть ОригиналОтветить0
AirdropChaser
· 07-10 16:03
Сразу видно, что кто-то попался на удочку. Выращивайте рыбу, выращивайте рыбу.
Посмотреть ОригиналОтветить0
GateUser-beba108d
· 07-10 15:59
Если переполнение, так переполнение. Не придумывай столько причин.
Анализ уязвимости Cetus: раскрытие системных недостатков безопасности в индустрии Децентрализованные финансы
Cetus Protocol недавно опубликовал отчет о безопасности после хакерской атаки, что вызвало глубокие размышления в индустрии о проблемах безопасности Децентрализованных финансов. В отчете подробно изложены технические детали и процесс реагирования на чрезвычайные ситуации, но объяснение причин атаки несколько неясно.
Доклад сосредоточен на проверке ошибок функции checked_shlw библиотеки integer-mate, считая это проблемой "семантического недоразумения". Однако такое объяснение, похоже, упрощает суть события.
Тщательно анализируя путь атаки Хакера, мы обнаружили, что злоумышленнику необходимо одновременно использовать четыре условия для успешного выполнения: неверная проверка переполнения, значительные смещения, правило округления вверх и отсутствие проверки экономической целесообразности. Удивительно, но в каждом из этих этапов у Cetus есть очевидные уязвимости.
Это событие выявило серьезные недостатки команды Cetus в следующих аспектах:
Слабая осведомленность о безопасности цепочки поставок. Несмотря на использование открытых и широко применяемых библиотек, при управлении огромными активами не удалось полностью понять границы безопасности этой библиотеки и потенциальные риски.
Отсутствие разумных ограничений на ввод. Разрешение ввода необыкновенно больших чисел без установления соответствующих границ показывает отсутствие осознания управления рисками.
Ошибки восприятия безопасности аудита. Чрезмерная зависимость от сторонних аудитов безопасности игнорирует ответственность самой компании за безопасность системы.
Это событие является не только проблемой Cetus, но и отражает системные слабости безопасности, существующие в целом в индустрии Децентрализованных финансов. Многие команды слишком полагаются на чисто техническое мышление и не имеют необходимой финансовой осведомленности о рисках.
Чтобы повысить общую безопасность проектов Децентрализованные финансы, рекомендуется принять следующие меры:
С развитием индустрии Децентрализованные финансы чисто технические ошибки могут постепенно уменьшаться, но "осознанные ошибки" в бизнес-логике станут более серьезной проблемой. Будущие проекты Децентрализованные финансы должны не только обладать строгими техническими навыками, но и иметь команду с глубоким пониманием природы бизнеса и способностью точно контролировать его. Только глубокая интеграция технологий и бизнеса позволит сохранить конкурентоспособность и безопасность в этой быстро развивающейся области.