Revisión del incidente de hacker de Cetus: cómo los proyectos de Finanzas descentralizadas pueden evitar las trampas dobles de riesgos técnicos y financieros

Cetus Protocol recientemente publicó un informe de revisión de seguridad sobre un ataque de Hacker, lo que ha provocado una profunda reflexión en la industria sobre los problemas de seguridad en las Finanzas descentralizadas. El informe detalla los aspectos técnicos y el proceso de respuesta de emergencia, pero al explicar la raíz del ataque, resulta un poco vago.

El informe se centra en discutir el error de verificación en la función checked_shlw de la biblioteca integer-mate, calificándolo de "malentendido semántico". Aunque esta afirmación puede ser válida a nivel técnico, parece tener la intención de trasladar la responsabilidad a factores externos.

Sin embargo, tras un análisis profundo, se descubrió que el éxito de un ataque hacker requiere cumplir simultáneamente con cuatro condiciones: verificación de desbordamiento errónea, operaciones de desplazamiento masivo, reglas de redondeo hacia arriba y falta de verificación de razonabilidad económica. Sorprendentemente, Cetus ha descuidado estos cuatro puntos clave.

Este evento expuso las deficiencias del equipo de Cetus en los siguientes aspectos:

1. Conciencia de seguridad en la cadena de suministro débil: aunque se utilizan bibliotecas de código abierto y ampliamente aplicadas, no se ha comprendido adecuadamente sus límites de seguridad y riesgos potenciales.

2. Falta de conciencia sobre la gestión del riesgo financiero: se permiten introducir cifras astronómicas irracionales, sin establecer límites de frontera adecuados.

3. Dependencia excesiva de las auditorías de seguridad: externalizar completamente la responsabilidad de seguridad a las empresas de auditoría descuida las responsabilidades de gestión de riesgos propias.

Este evento refleja una deficiencia de seguridad sistémica que existe comúnmente en la industria de Finanzas descentralizadas: los equipos técnicos a menudo carecen de la conciencia necesaria sobre los riesgos financieros. Para enfrentar este desafío, los proyectos de Finanzas descentralizadas deberían:

1. Introducir expertos en gestión de riesgos financieros para compensar las lagunas de conocimiento del equipo técnico.
2. Establecer un mecanismo de auditoría múltiple, no solo centrarse en la auditoría de código, sino también prestar atención a la auditoría de modelos económicos.
3. Desarrollar el "olfato financiero", simular varios escenarios de ataque y elaborar medidas de respuesta correspondientes.

Con el desarrollo de la industria, los errores técnicos puros pueden reducirse gradualmente, pero los "errores de conciencia" en la lógica del negocio se convertirán en un desafío mayor. Las empresas de auditoría solo pueden asegurar que el código sea correcto, mientras que garantizar que "la lógica tenga límites" requiere que el equipo del proyecto tenga una comprensión y capacidad de control más profundas sobre la esencia del negocio.

En el futuro, los líderes de la industria DeFi serán aquellos equipos que no solo tengan una sólida capacidad técnica, sino que también comprendan profundamente la lógica empresarial. Necesitan encontrar un equilibrio entre la experiencia técnica y la perspicacia financiera para mantener una ventaja competitiva en este campo de rápido crecimiento.