El informe de seguridad del protocolo DeFi expone las deficiencias en el control de riesgos y llama a fomentar la conciencia de los ingenieros financieros.

Recientemente, un conocido protocolo de Finanzas descentralizadas fue atacado por un hacker y publicó un informe de revisión de seguridad. Aunque este informe se destacó en los detalles técnicos y la respuesta de emergencia, fue vago al explicar la raíz del ataque.

El informe se centra en discutir errores de verificación de funciones en una biblioteca matemática de código abierto, clasificándolos como "malentendidos semánticos". Esta afirmación es técnicamente correcta, pero hábilmente desvía la atención hacia factores externos, como si el protocolo en sí también fuera una víctima de este defecto técnico.

Sin embargo, al analizar detenidamente la ruta del ataque del hacker, se descubre que para implementar con éxito el ataque se deben cumplir simultáneamente cuatro condiciones: verificación de desbordamiento errónea, operación de desplazamiento significativo, regla de redondeo hacia arriba y falta de verificación de razonabilidad económica. Sorprendentemente, el protocolo mostró negligencia en cada una de las condiciones desencadenantes.

Esto expone varios problemas clave:

1. ¿Por qué no se realizaron pruebas de seguridad adecuadas al adoptar bibliotecas externas generales? Aunque esta biblioteca tiene características como ser de código abierto y popular, el equipo del protocolo parece no haber comprendido completamente sus límites de seguridad al gestionar activos tan enormes.

2. ¿Por qué se permite ingresar números astronómicos irrazonables sin establecer límites? A pesar de que las Finanzas descentralizadas buscan apertura, los sistemas financieros maduros requieren límites claros. Permitir la entrada de valores tan exagerados indica que el equipo puede carecer de talento en gestión de riesgos con intuición financiera.

3. ¿Por qué las auditorías de seguridad en múltiples rondas aún no han detectado problemas de antemano? Esto refleja una creencia errónea común: los equipos de proyecto dependen en exceso de las auditorías de seguridad, viéndolas como un pase de exención de responsabilidad. Sin embargo, los ingenieros de auditoría de seguridad se centran en detectar vulnerabilidades en el código, y es difícil predecir que el sistema podría generar una proporción de intercambio tan irracional.

Este evento revela las deficiencias de seguridad sistémicas en la industria de las Finanzas descentralizadas: los equipos con un fondo puramente técnico a menudo carecen de una conciencia básica del riesgo financiero. Según este informe, el equipo del protocolo parece no haber reflexionado profundamente sobre este aspecto.

Para todos los equipos de Finanzas descentralizadas, es crucial superar las limitaciones del pensamiento puramente técnico y cultivar la conciencia de riesgos de seguridad de verdaderos "ingenieros financieros". Se pueden considerar las siguientes medidas:

• Introducir expertos en gestión de riesgos financieros para cubrir las lagunas de conocimiento del equipo técnico
• Implementar un mecanismo de revisión de auditoría múltiple, no solo centrarse en la auditoría de código, sino también dar importancia a la auditoría del modelo económico.
• Desarrollar el "olfato financiero", simular diversos escenarios de ataque y elaborar medidas de respuesta, manteniendo una alta vigilancia sobre las operaciones anómalas.

A medida que la industria madura, las vulnerabilidades técnicas a nivel de código disminuirán gradualmente, mientras que las "vulnerabilidades de conciencia" en la lógica empresarial, que son difusas y con responsabilidades poco claras, se convertirán en el mayor desafío. Las empresas de auditoría pueden garantizar que el código no tenga vulnerabilidades, pero cómo lograr que la "lógica tenga límites" requiere que el equipo del proyecto tenga una comprensión y control más profundos de la esencia del negocio.

El futuro de las Finanzas descentralizadas pertenece a aquellos equipos que dominan tanto la tecnología de código como la lógica empresarial.