Cetus Protocol, son zamanlarda bir hacker saldırısı güvenlik incelemesi raporu yayınladı ve bu, sektörde Merkezi Olmayan Finans güvenlik sorunlarına dair derinlikli düşüncelere yol açtı. Rapor, teknik detaylar ve acil yanıt sürecini ayrıntılı olarak açıkladı, ancak saldırının kökenini açıklarken biraz belirsizdi.
Rapor, integer-mate kütüphanesindeki checked_shlw fonksiyonunun hata kontrolüne odaklanıyor ve bunun bir "anlamsal yanlış anlama" sorunu olduğunu düşünüyor. Ancak, bu açıklama olayın doğasını oldukça basitleştiriyor gibi görünüyor.
Saldırganın saldırı yolunu dikkatlice analiz ettiğimizde, saldırganın başarılı olabilmesi için dört koşulu aynı anda kullanması gerektiğini keşfettik: yanlış taşma kontrolü, büyük kaydırma işlemi, yukarı yuvarlama kuralı ve ekonomik makuliyet doğrulamasının eksikliği. Şaşırtıcı bir şekilde, Cetus bu her bir aşamada belirgin açıklar barındırıyor.
Bu olay, Cetus ekibinin aşağıdaki birkaç alanda ciddi eksiklikler taşıdığını ortaya çıkardı:
Tedarik zinciri güvenlik bilinci zayıf. Açık kaynaklı ve yaygın olarak kullanılan kütüphaneler kullanılsa da, büyük varlıkları yönetirken bu kütüphanenin güvenlik sınırlarını ve potansiyel risklerini yeterince anlamadılar.
Makul giriş kısıtlamalarının olmaması. Olağanüstü astronomik sayılara girişe izin verilmesi, uygun sınır koşullarının ayarlanmaması, risk yönetimi bilincinin eksikliğini gösteriyor.
Güvenlik denetimi algı yanlışları. Üçüncü taraf güvenlik denetimlerine aşırı bağımlılık, sistem güvenliğine olan kendi sorumluluğunu göz ardı etmektedir.
Bu olay sadece Cetus'un sorunu değil, aynı zamanda tüm Merkezi Olmayan Finans endüstrisinde yaygın olan sistemik güvenlik eksikliklerini yansıtıyor. Birçok ekip, saf teknik düşünceye aşırı bağımlı, gerekli finansal risk bilincinden yoksun.
DeFi projelerinin genel güvenliğini artırmak için aşağıdaki önlemlerin alınması önerilir:
Finans alanındaki bilgi boşluklarını kapatmak için finansal risk yönetimi uzmanları getirilecek.
Çok taraflı denetim mekanizması oluşturulmalı, sadece kod denetimine değil, aynı zamanda ekonomik model denetimine de önem verilmelidir.
Takımın "finansal sezgilerini" geliştirmek, çeşitli olası saldırı senaryolarını simüle etmek ve karşı önlemler geliştirmek.
Anormal işlemlere karşı her zaman tetikte olun, etkili bir risk uyarı mekanizması kurun.
DeFi endüstrisinin sürekli gelişimiyle birlikte, saf teknik hataların azalması muhtemeldir; ancak iş mantığındaki "bilinç hatası" daha büyük bir zorluk haline gelecektir. Gelecekteki DeFi projeleri sadece sağlam teknik becerilere değil, aynı zamanda işin doğasını derinlemesine anlama ve doğru bir şekilde kontrol etme yeteneğine sahip bir ekibe ihtiyaç duymaktadır. Yalnızca teknoloji ile işin derinlemesine birleşimi, bu hızlı gelişen alanda rekabet gücü ve güvenliği koruyabilir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
26 Likes
Reward
26
9
Share
Comment
0/400
AllInAlice
· 07-13 15:24
Ne zaman inceleme yapacaklar ki? Her gün kritik hasar!
View OriginalReply0
BlockchainGriller
· 07-13 04:32
Bu güvenlik ile gerçekten de kebap yapmaktan daha güvenilir.
View OriginalReply0
GateUser-4745f9ce
· 07-11 20:38
Bizim çevremizin Hacker'ları zengin olmayı hak ediyor.
View OriginalReply0
ShibaOnTheRun
· 07-11 14:55
Taşma kontrolü her zaman sorun çıkarır, gerçekten bu kadar kötü durumda.
View OriginalReply0
MechanicalMartel
· 07-10 16:19
Bu denetim, stajyerlerin yaptığı bir şey olamaz mı?
View OriginalReply0
OnchainArchaeologist
· 07-10 16:11
Görünüşe göre Cetus çok fazla soyulmuş.
View OriginalReply0
JustHereForAirdrops
· 07-10 16:07
Delikler bile denetimden geçemiyor mu? Bu hala zincire ekleniyor.
View OriginalReply0
AirdropChaser
· 07-10 16:03
Bir bakışta anlaşılıyor ki oltaya gelinmiş. Balık beslemek, evet balık beslemek.
View OriginalReply0
GateUser-beba108d
· 07-10 15:59
Taşma oldu, oldu işte. Bu kadar çok bahane üretme.
Cetus açığı analizi: DeFi sektörünün sistematik güvenlik zayıflıklarını ortaya koyuyor
Cetus Protocol, son zamanlarda bir hacker saldırısı güvenlik incelemesi raporu yayınladı ve bu, sektörde Merkezi Olmayan Finans güvenlik sorunlarına dair derinlikli düşüncelere yol açtı. Rapor, teknik detaylar ve acil yanıt sürecini ayrıntılı olarak açıkladı, ancak saldırının kökenini açıklarken biraz belirsizdi.
Rapor, integer-mate kütüphanesindeki checked_shlw fonksiyonunun hata kontrolüne odaklanıyor ve bunun bir "anlamsal yanlış anlama" sorunu olduğunu düşünüyor. Ancak, bu açıklama olayın doğasını oldukça basitleştiriyor gibi görünüyor.
Saldırganın saldırı yolunu dikkatlice analiz ettiğimizde, saldırganın başarılı olabilmesi için dört koşulu aynı anda kullanması gerektiğini keşfettik: yanlış taşma kontrolü, büyük kaydırma işlemi, yukarı yuvarlama kuralı ve ekonomik makuliyet doğrulamasının eksikliği. Şaşırtıcı bir şekilde, Cetus bu her bir aşamada belirgin açıklar barındırıyor.
Bu olay, Cetus ekibinin aşağıdaki birkaç alanda ciddi eksiklikler taşıdığını ortaya çıkardı:
Tedarik zinciri güvenlik bilinci zayıf. Açık kaynaklı ve yaygın olarak kullanılan kütüphaneler kullanılsa da, büyük varlıkları yönetirken bu kütüphanenin güvenlik sınırlarını ve potansiyel risklerini yeterince anlamadılar.
Makul giriş kısıtlamalarının olmaması. Olağanüstü astronomik sayılara girişe izin verilmesi, uygun sınır koşullarının ayarlanmaması, risk yönetimi bilincinin eksikliğini gösteriyor.
Güvenlik denetimi algı yanlışları. Üçüncü taraf güvenlik denetimlerine aşırı bağımlılık, sistem güvenliğine olan kendi sorumluluğunu göz ardı etmektedir.
Bu olay sadece Cetus'un sorunu değil, aynı zamanda tüm Merkezi Olmayan Finans endüstrisinde yaygın olan sistemik güvenlik eksikliklerini yansıtıyor. Birçok ekip, saf teknik düşünceye aşırı bağımlı, gerekli finansal risk bilincinden yoksun.
DeFi projelerinin genel güvenliğini artırmak için aşağıdaki önlemlerin alınması önerilir:
DeFi endüstrisinin sürekli gelişimiyle birlikte, saf teknik hataların azalması muhtemeldir; ancak iş mantığındaki "bilinç hatası" daha büyük bir zorluk haline gelecektir. Gelecekteki DeFi projeleri sadece sağlam teknik becerilere değil, aynı zamanda işin doğasını derinlemesine anlama ve doğru bir şekilde kontrol etme yeteneğine sahip bir ekibe ihtiyaç duymaktadır. Yalnızca teknoloji ile işin derinlemesine birleşimi, bu hızlı gelişen alanda rekabet gücü ve güvenliği koruyabilir.