Laporan keamanan protokol Keuangan Desentralisasi mengungkapkan kekurangan dalam manajemen risiko dan menyerukan untuk membangun kesadaran insinyur keuangan.

Baru-baru ini, sebuah protokol keuangan desentralisasi terkenal mengalami serangan hacker dan merilis laporan evaluasi keamanan. Laporan ini meskipun menunjukkan performa yang baik dalam rincian teknis dan respons darurat, namun tampak tidak jelas dalam menjelaskan akar penyebab serangan.

Laporan ini secara khusus membahas kesalahan pemeriksaan fungsi dalam pustaka matematika sumber terbuka, mengklasifikasikannya sebagai "kesalahan semantik". Pernyataan ini secara teknis tidak salah, tetapi secara cerdik mengalihkan fokus pada faktor eksternal, seolah-olah protokol itu sendiri juga menjadi korban dari cacat teknis ini.

Namun, analisis mendetail terhadap jalur serangan Hacker menunjukkan bahwa untuk berhasil melaksanakan serangan, empat kondisi harus dipenuhi secara bersamaan: pemeriksaan overflow yang salah, operasi pergeseran yang besar, aturan pembulatan ke atas, dan kurangnya verifikasi kelayakan ekonomi. Yang mengejutkan, protokol ini mengabaikan setiap kondisi pemicu.

Ini mengungkapkan beberapa masalah kunci:

1. Mengapa tidak ada pengujian keamanan yang memadai saat menggunakan pustaka eksternal umum? Meskipun pustaka tersebut memiliki karakteristik seperti open-source dan populer, tim protokol tampaknya tidak sepenuhnya memahami batasan keamanannya saat mengelola aset sebesar itu.

2. Mengapa diperbolehkan memasukkan angka astronomis yang tidak masuk akal tanpa menetapkan batas? Meskipun keuangan desentralisasi mengejar keterbukaan, sistem keuangan yang matang lebih membutuhkan batasan yang jelas. Memungkinkan input nilai yang begitu berlebihan menunjukkan bahwa tim mungkin kekurangan bakat manajemen risiko yang memiliki intuisi keuangan.

3. Mengapa audit keamanan multi-langkah belum menemukan masalah sebelumnya? Ini mencerminkan kesalahpahaman umum: pihak proyek terlalu bergantung pada audit keamanan, menganggapnya sebagai jaminan bebas tanggung jawab. Namun, insinyur audit keamanan fokus untuk menemukan celah kode, sehingga sulit untuk memprediksi bahwa sistem dapat menghasilkan rasio pertukaran yang tidak masuk akal.

Kejadian ini mengungkapkan kelemahan keamanan sistemik dalam industri keuangan desentralisasi: tim dengan latar belakang teknis murni sering kali kekurangan kesadaran risiko keuangan yang dasar. Dari laporan ini, tampaknya tim protokol tersebut tidak melakukan refleksi mendalam tentang hal ini.

Bagi semua tim Keuangan Desentralisasi, sangat penting untuk melampaui batasan pemikiran teknis murni dan mengembangkan kesadaran risiko keamanan "insinyur keuangan" yang sejati. Beberapa langkah yang dapat dipertimbangkan adalah:

• Menghadirkan ahli manajemen risiko keuangan untuk menutupi kekurangan pengetahuan tim teknik
• Menerapkan mekanisme pemeriksaan audit multi-pihak, tidak hanya memperhatikan audit kode tetapi juga memberikan perhatian pada audit model ekonomi
• Mengembangkan "indera keuangan", mensimulasikan berbagai skenario serangan dan merumuskan langkah-langkah respons, serta tetap waspada terhadap operasi yang tidak biasa.

Seiring industri semakin matang, celah teknis di tingkat kode akan berkurang, sementara "celah kesadaran" dalam logika bisnis yang tidak jelas batasnya dan tanggung jawab yang samar akan menjadi tantangan terbesar. Perusahaan audit dapat memastikan bahwa kode bebas dari celah, tetapi bagaimana mewujudkan "logika yang memiliki batas" memerlukan tim proyek untuk memiliki pemahaman dan kemampuan pengendalian yang lebih mendalam tentang esensi bisnis.

Masa depan Keuangan Desentralisasi adalah milik tim yang menguasai teknologi kode dan memahami logika bisnis dengan mendalam.