Огляд хакерської атаки на Cetus: як проектам Децентралізовані фінанси уникнути подвійних пасток технологічних та фінансових ризиків

Cetus Protocol нещодавно опублікував звіт про безпеку після хакерської атаки, що викликало глибокі роздуми у галузі щодо безпеки Децентралізованих фінансів. У звіті детально викладені технічні деталі та процес реагування на надзвичайні ситуації, але під час пояснення причин атаки він дещо неясний.

Звіт зосереджується на обговоренні помилки перевірки функції checked_shlw у бібліотеці integer-mate, класифікуючи її як "семантичне непорозуміння". Хоча таке твердження може бути обґрунтованим з технічної точки зору, воно, здається, має на меті перевести відповідальність на зовнішні чинники.

Однак, після детального аналізу виявлено, що успіх хакерської атаки потребує одночасного виконання чотирьох умов: помилкова перевірка на переповнення, значні зсуви, правила округлення вгору та відсутність перевірки економічної доцільності. Приголомшливо, але Cetus проігнорував усі ці чотири ключові моменти.

Ця подія виявила недоліки команди Cetus у кількох аспектах:

1. Слабка обізнаність про безпеку в ланцюгах постачання: хоча використовуються відкриті та широко застосовувані бібліотеки, не вдалося належним чином зрозуміти їхні межі безпеки та потенційні ризики.

2. Недостатня свідомість управління фінансовими ризиками: дозволяє вводити нерозумні астрономічні числа, не встановлено відповідних меж.

3. Надмірна залежність від безпекового аудиту: повне делегування відповідальності за безпеку аудиторським компаніям, ігноруючи власні обов'язки з управління ризиками.

Ця подія відображає системний недолік безпеки, який є поширеним у галузі Децентралізованих фінансів: технічні команди часто не мають необхідної фінансової обізнаності про ризики. Щоб впоратися з цією проблемою, проекти DeFi повинні:

1. Залучення експертів з фінансового ризику для заповнення знаннєвих прогалин технічної команди.
2. Створення багатостороннього механізму аудиту, який не лише зосереджується на аудити коду, але й приділяє увагу аудиту економічної моделі.
3. Розвивайте "фінансовий нюх", моделюючи різні сценарії атак і розробляючи відповідні заходи реагування.

З розвитком індустрії чисті технічні помилки можуть поступово зменшитися, але "свідомі помилки" в бізнес-логіці стануть більшим викликом. Аудиторські компанії можуть лише забезпечити правильність коду, тоді як для забезпечення того, щоб "логіка була обмежена", команді проекту потрібно мати більш глибоке розуміння та контроль над сутністю бізнесу.

У майбутньому лідерами галузі DeFi стануть команди, які не лише мають сильні технічні можливості, але й глибоке розуміння бізнес-логіки. Вони повинні знайти баланс між технічною експертизою та фінансовою інтуїцією, щоб зберегти конкурентну перевагу в цій швидко розвиваючійся сфері.