Retour sur l'incident des hackers de Cetus : comment les projets DeFi peuvent éviter les pièges des risques techniques et financiers.

Le protocole Cetus a récemment publié un rapport de retour d'expérience sur la sécurité des attaques de hackers, suscitant des réflexions approfondies dans l'industrie sur les problèmes de sécurité de la Finance décentralisée. Le rapport détaille les aspects techniques et le processus de réponse d'urgence, mais reste quelque peu flou en ce qui concerne l'explication de la source de l'attaque.

Le rapport se concentre sur les erreurs de vérification de la fonction checked_shlw dans la bibliothèque integer-mate, la qualifiant de "malentendu sémantique". Bien que cette affirmation puisse tenir sur le plan technique, elle semble intentionnellement déplacer la responsabilité vers des facteurs externes.

Cependant, une analyse approfondie révèle que le succès d'une attaque Hacker nécessite que quatre conditions soient remplies simultanément : un contrôle de débordement défaillant, un décalage binaire important, des règles d'arrondi vers le haut et un manque de vérification de la rationalité économique. Il est surprenant que Cetus ait négligé ces quatre points clés.

Cet événement a révélé les lacunes de l'équipe de Cetus dans plusieurs domaines :

1. Sensibilisation à la sécurité de la chaîne d'approvisionnement faible : Bien que des bibliothèques open source et largement utilisées aient été utilisées, il n'a pas été possible de comprendre pleinement leurs limites de sécurité et les risques potentiels.

2. Manque de sensibilisation à la gestion des risques financiers : autorisation de saisir des chiffres astronomiques déraisonnables, sans mise en place de limites appropriées.

3. Dépendance excessive aux audits de sécurité : externaliser complètement la responsabilité de la sécurité aux sociétés d'audit, tout en négligeant sa propre responsabilité en matière de gestion des risques.

Cet événement reflète une lacune systémique de sécurité largement répandue dans l'industrie de la Finance décentralisée : les équipes techniques manquent souvent de la conscience nécessaire des risques financiers. Pour faire face à ce défi, les projets de Finance décentralisée devraient :

1. Introduire des experts en gestion des risques financiers pour combler les lacunes de connaissances de l'équipe technique.
2. Établir un mécanisme d'audit multipartite, en ne se concentrant pas seulement sur l'audit du code, mais aussi en accordant de l'importance à l'audit du modèle économique.
3. Cultiver un "odorat financier", simuler divers scénarios d'attaque et élaborer des mesures de réponse appropriées.

Avec le développement de l'industrie, les bugs techniques purs pourraient progressivement diminuer, mais les "bugs de conscience" dans la logique commerciale deviendront un plus grand défi. Les sociétés d'audit ne peuvent garantir que le code est correct, tandis que la manière de s'assurer que "la logique a des limites" nécessite que l'équipe du projet ait une compréhension et une maîtrise plus approfondies de l'essence des affaires.

À l'avenir, les leaders de l'industrie DeFi seront ceux qui possèdent non seulement une solide expertise technique, mais également une compréhension approfondie de la logique commerciale. Ils devront trouver un équilibre entre l'expertise technique et l'intuition financière pour maintenir un avantage concurrentiel dans ce secteur en évolution rapide.