Giao thức Cetus gần đây đã phát hành một báo cáo phục hồi an ninh sau cuộc tấn công của hacker, gây ra sự suy nghĩ sâu sắc trong ngành về vấn đề an ninh DeFi. Báo cáo đã tiết lộ chi tiết kỹ thuật và quy trình phản ứng khẩn cấp, nhưng khi giải thích nguồn gốc cuộc tấn công thì có phần mơ hồ.
Báo cáo tập trung vào việc kiểm tra lỗi của hàm checked_shlw trong thư viện integer-mate, cho rằng đây là một vấn đề "hiểu lầm ngữ nghĩa". Tuy nhiên, cách giải thích này dường như quá đơn giản hóa bản chất của sự kiện.
Phân tích kỹ lưỡng đường đi của hacker, chúng tôi phát hiện ra rằng kẻ tấn công cần phải khai thác bốn điều kiện đồng thời để thành công: kiểm tra tràn lỗi sai, phép toán dịch chuyển lớn, quy tắc làm tròn lên và thiếu kiểm tra tính hợp lý kinh tế. Thật ngạc nhiên, Cetus có những lỗ hổng rõ ràng trong từng khâu này.
Sự kiện này đã phơi bày những thiếu sót nghiêm trọng của đội ngũ Cetus trong một số lĩnh vực sau đây:
Nhận thức về an ninh chuỗi cung ứng còn yếu. Mặc dù đã sử dụng thư viện mã nguồn mở và được áp dụng rộng rãi, nhưng khi quản lý tài sản khổng lồ, không thể hiểu đầy đủ về ranh giới an ninh và rủi ro tiềm ẩn của thư viện đó.
Thiếu các giới hạn đầu vào hợp lý. Cho phép nhập các số thiên văn phi thường, không thiết lập các điều kiện biên thích hợp, cho thấy sự thiếu hụt ý thức quản lý rủi ro.
Nhận thức sai lầm về kiểm toán an toàn. Căn cứ quá nhiều vào kiểm toán an toàn của bên thứ ba, bỏ qua trách nhiệm của bản thân đối với an toàn hệ thống.
Sự kiện lần này không chỉ là vấn đề của Cetus, mà nó phản ánh những thiếu sót an ninh hệ thống phổ biến trong toàn ngành Tài chính phi tập trung. Nhiều đội ngũ quá phụ thuộc vào tư duy công nghệ thuần túy, thiếu nhận thức cần thiết về rủi ro tài chính.
Để nâng cao tính an toàn tổng thể của các dự án Tài chính phi tập trung, đề xuất thực hiện các biện pháp sau:
Giới thiệu chuyên gia quản lý rủi ro tài chính, bù đắp cho khoảng trống kiến thức của đội ngũ kỹ thuật trong lĩnh vực tài chính.
Xây dựng cơ chế kiểm toán đa bên, không chỉ chú trọng đến kiểm toán mã nguồn mà còn phải coi trọng kiểm toán mô hình kinh tế.
Nuôi dưỡng "khứu giác tài chính" của đội ngũ, mô phỏng các kịch bản tấn công có thể xảy ra và xây dựng các biện pháp ứng phó.
Luôn giữ sự cảnh giác đối với các hoạt động bất thường, thiết lập cơ chế cảnh báo rủi ro hiệu quả.
Với sự phát triển không ngừng của ngành Tài chính phi tập trung, các lỗi kỹ thuật thuần túy có thể sẽ giảm dần, nhưng "lỗi nhận thức" trong logic kinh doanh sẽ trở thành thử thách lớn hơn. Các dự án Tài chính phi tập trung trong tương lai không chỉ cần có năng lực kỹ thuật vững vàng, mà còn cần một đội ngũ có hiểu biết sâu sắc về bản chất kinh doanh và khả năng kiểm soát chính xác. Chỉ có sự kết hợp sâu sắc giữa kỹ thuật và kinh doanh mới có thể duy trì tính cạnh tranh và an toàn trong lĩnh vực phát triển nhanh này.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
26 thích
Phần thưởng
26
9
Chia sẻ
Bình luận
0/400
AllInAlice
· 07-13 15:24
Mấy cái còn phê duyệt cái gì, ngày nào cũng là bạo kích.
Xem bản gốcTrả lời0
BlockchainGriller
· 07-13 04:32
Về độ an toàn này, thật sự không đáng tin cậy bằng việc tôi nướng xiên thịt.
Xem bản gốcTrả lời0
GateUser-4745f9ce
· 07-11 20:38
Bọn hacker trong圈 của chúng ta đáng được phát tài.
Xem bản gốcTrả lời0
ShibaOnTheRun
· 07-11 14:55
Kiểm tra tràn đều gặp vấn đề, thật sự quá tệ.
Xem bản gốcTrả lời0
MechanicalMartel
· 07-10 16:19
Kiểm toán này chắc không phải được thuê thực tập sinh làm chứ?
Xem bản gốcTrả lời0
OnchainArchaeologist
· 07-10 16:11
Có vẻ như Cetus đã bị lột sạch quá nhiều.
Xem bản gốcTrả lời0
JustHereForAirdrops
· 07-10 16:07
Động đều không qua được kiểm toán sao? Chỉ có vậy mà còn lên chuỗi.
Xem bản gốcTrả lời0
AirdropChaser
· 07-10 16:03
Một cái nhìn là biết đã bị người khác câu rồi, nuôi cá à nuôi cá.
Xem bản gốcTrả lời0
GateUser-beba108d
· 07-10 15:59
Tràn thì tràn thôi, đừng có bịa ra nhiều lý do như vậy.
Cetus lỗ hổng phục hồi tiết lộ những điểm yếu hệ thống an ninh trong ngành Tài chính phi tập trung
Giao thức Cetus gần đây đã phát hành một báo cáo phục hồi an ninh sau cuộc tấn công của hacker, gây ra sự suy nghĩ sâu sắc trong ngành về vấn đề an ninh DeFi. Báo cáo đã tiết lộ chi tiết kỹ thuật và quy trình phản ứng khẩn cấp, nhưng khi giải thích nguồn gốc cuộc tấn công thì có phần mơ hồ.
Báo cáo tập trung vào việc kiểm tra lỗi của hàm checked_shlw trong thư viện integer-mate, cho rằng đây là một vấn đề "hiểu lầm ngữ nghĩa". Tuy nhiên, cách giải thích này dường như quá đơn giản hóa bản chất của sự kiện.
Phân tích kỹ lưỡng đường đi của hacker, chúng tôi phát hiện ra rằng kẻ tấn công cần phải khai thác bốn điều kiện đồng thời để thành công: kiểm tra tràn lỗi sai, phép toán dịch chuyển lớn, quy tắc làm tròn lên và thiếu kiểm tra tính hợp lý kinh tế. Thật ngạc nhiên, Cetus có những lỗ hổng rõ ràng trong từng khâu này.
Sự kiện này đã phơi bày những thiếu sót nghiêm trọng của đội ngũ Cetus trong một số lĩnh vực sau đây:
Nhận thức về an ninh chuỗi cung ứng còn yếu. Mặc dù đã sử dụng thư viện mã nguồn mở và được áp dụng rộng rãi, nhưng khi quản lý tài sản khổng lồ, không thể hiểu đầy đủ về ranh giới an ninh và rủi ro tiềm ẩn của thư viện đó.
Thiếu các giới hạn đầu vào hợp lý. Cho phép nhập các số thiên văn phi thường, không thiết lập các điều kiện biên thích hợp, cho thấy sự thiếu hụt ý thức quản lý rủi ro.
Nhận thức sai lầm về kiểm toán an toàn. Căn cứ quá nhiều vào kiểm toán an toàn của bên thứ ba, bỏ qua trách nhiệm của bản thân đối với an toàn hệ thống.
Sự kiện lần này không chỉ là vấn đề của Cetus, mà nó phản ánh những thiếu sót an ninh hệ thống phổ biến trong toàn ngành Tài chính phi tập trung. Nhiều đội ngũ quá phụ thuộc vào tư duy công nghệ thuần túy, thiếu nhận thức cần thiết về rủi ro tài chính.
Để nâng cao tính an toàn tổng thể của các dự án Tài chính phi tập trung, đề xuất thực hiện các biện pháp sau:
Với sự phát triển không ngừng của ngành Tài chính phi tập trung, các lỗi kỹ thuật thuần túy có thể sẽ giảm dần, nhưng "lỗi nhận thức" trong logic kinh doanh sẽ trở thành thử thách lớn hơn. Các dự án Tài chính phi tập trung trong tương lai không chỉ cần có năng lực kỹ thuật vững vàng, mà còn cần một đội ngũ có hiểu biết sâu sắc về bản chất kinh doanh và khả năng kiểm soát chính xác. Chỉ có sự kết hợp sâu sắc giữa kỹ thuật và kinh doanh mới có thể duy trì tính cạnh tranh và an toàn trong lĩnh vực phát triển nhanh này.