Le rapport de sécurité du protocole DeFi expose les lacunes en matière de gestion des risques et appelle à cultiver la conscience des ingénieurs financiers.

Récemment, un protocole de Finance Décentralisée bien connu a publié un rapport de retour sur la sécurité après avoir été attaqué par un Hacker. Bien que ce rapport ait excellé dans les détails techniques et la réponse d'urgence, il s'est avéré vague en ce qui concerne l'explication des origines de l'attaque.

Le rapport discute principalement des erreurs de vérification des fonctions dans une bibliothèque mathématique open source, les classant comme une "méprise sémantique". Cette affirmation n'est techniquement pas incorrecte, mais détourne habilement l'attention vers des facteurs externes, comme si le protocole lui-même était également une victime de ce défaut technique.

Cependant, une analyse approfondie des voies d'attaque des hackers révèle que la réussite d'une attaque nécessite de remplir simultanément quatre conditions : un contrôle de débordement incorrect, des opérations de décalage importantes, des règles d'arrondi vers le haut et un manque de vérification de la viabilité économique. Il est surprenant de constater que ce protocole a négligé chaque condition déclenchante.

Cela révèle plusieurs problèmes clés :

1. Pourquoi n'y a-t-il pas eu de tests de sécurité adéquats lors de l'utilisation de bibliothèques externes générales ? Bien que cette bibliothèque présente des caractéristiques telles que l'open source et la popularité, l'équipe du protocole semble ne pas avoir pleinement compris ses limites de sécurité lors de la gestion d'un actif aussi colossal.

2. Pourquoi permettre l'entrée de nombres astronomiques déraisonnables sans définir de limites ? Bien que la Finance Décentralisée recherche l'ouverture, un système financier mature nécessite davantage de limites claires. Autoriser l'entrée de valeurs aussi exagérées indique que l'équipe pourrait manquer de talents en gestion des risques ayant une intuition financière.

3. Pourquoi les audits de sécurité multiples n'ont-ils pas encore détecté les problèmes à l'avance ? Cela reflète une idée reçue générale : les projets comptent trop sur les audits de sécurité, les considérant comme un certificat de non-responsabilité. Cependant, les ingénieurs en audits de sécurité se concentrent sur la détection des vulnérabilités du code, il leur est donc difficile de prévoir que le système pourrait produire des ratios d'échange aussi déraisonnables.

Cet événement a révélé les lacunes de sécurité systémiques dans l'industrie de la Finance Décentralisée : les équipes ayant un parcours purement technique manquent souvent de conscience des risques financiers fondamentaux. D'après ce rapport, l'équipe du protocole semble ne pas avoir réfléchi en profondeur à cet aspect.

Pour toutes les équipes de Finance Décentralisée, il est essentiel de dépasser les limites de la pensée purement technique et de cultiver une véritable conscience des risques de sécurité chez les "ingénieurs financiers". Les mesures suivantes peuvent être envisagées :

• Introduire des experts en gestion des risques financiers pour combler les lacunes de connaissances de l'équipe technique.
• Mettre en œuvre un mécanisme d'examen d'audit multipartite, en se concentrant non seulement sur l'audit du code, mais aussi sur l'audit du modèle économique.
• Développer un "sens financier", simuler divers scénarios d'attaque et établir des mesures de réponse, rester en alerte face aux opérations anormales.

Avec la maturation progressive de l'industrie, les failles techniques au niveau du code vont progressivement diminuer, tandis que les "failles de logique" dues à des frontières floues et à des responsabilités ambiguës deviendront le plus grand défi. Les sociétés d'audit peuvent s'assurer qu'il n'y a pas de failles dans le code, mais comment réaliser une "logique avec des frontières" nécessite que l'équipe de projet ait une compréhension et une maîtrise plus approfondies de l'essence du métier.

L'avenir de la Finance Décentralisée appartient aux équipes qui maîtrisent à la fois les techniques de codage et comprennent profondément la logique commerciale.