Merkezi Olmayan Finans protokolü güvenlik raporu risk kontrol eksikliklerini ortaya koyuyor, finans mühendisliği bilincinin geliştirilmesi çağrısında bulunuyor.

Son zamanlarda, tanınmış bir Merkezi Olmayan Finans protokolü bir Hacker saldırısına uğradıktan sonra bir güvenlik geri dönüş raporu yayımladı. Bu rapor, teknik detaylar ve acil durum tepkisi açısından mükemmel bir performans sergilemesine rağmen, saldırının kök nedenini açıklamada belirsiz kaldı.

Rapor, bir açık kaynak matematik kütüphanesindeki fonksiyon kontrol hatalarını "anlamsal yanlış anlama" olarak sınıflandırarak ele alıyor. Bu ifade teknik olarak yanlış değil, ancak dış faktörlere odaklanmayı ustaca kaydırarak, protokolün kendisinin de bu teknik hatanın bir kurbanı olduğu izlenimini veriyor.

Ancak, hacker saldırı yollarını dikkatlice analiz ettiğinizde, başarılı bir saldırının uygulanabilmesi için dört koşulun aynı anda sağlanması gerektiği görülmektedir: hatalı taşma kontrolü, büyük bit kaydırma işlemleri, yukarı yuvarlama kuralları ve ekonomik mantık doğrulaması eksikliği. Şaşırtıcı bir şekilde, bu protokol her bir tetikleyici koşulda dikkatsizlik göstermiştir.

Bu birkaç anahtar sorunu ortaya koyuyor:

1. Neden genel harici kütüphaneler kullanılırken yeterli güvenlik testi yapılmadı? Bu kütüphane açık kaynak, popüler gibi özelliklere sahip olsa da, bu kadar büyük bir varlık yönetirken, protokol ekibi güvenlik sınırlarını yeterince anlamamış gibi görünüyor.

2. Neden mantıksız astronomik rakamların girilmesine izin veriliyor ve sınırlar belirlenmiyor? Merkezi Olmayan Finans açılığını hedeflese de, olgun finansal sistemlerin daha net sınırları olması gerekiyor. Bu kadar abartılı değerlerin girilmesine izin verilmesi, ekibin finansal sezgiye sahip risk yönetimi uzmanlarından yoksun olabileceğini gösteriyor.

3. Neden çoklu güvenlik denetimleri sorunları önceden tespit edemedi? Bu, yaygın bir yanılgıyı yansıtıyor: Proje ekipleri güvenlik denetimine aşırı güveniyor ve bunu bir sorumluluk muafiyeti olarak görüyor. Ancak güvenlik denetim mühendisleri kod açıklarını bulmaya odaklanır, sistemin bu kadar mantıksız bir değişim oranı üretebileceğini öngörmekte zorlanırlar.

Bu olay, merkezi olmayan finans sektörünün sistemik güvenlik açıklarını ortaya koydu: tamamen teknik geçmişe sahip ekipler genellikle temel finansal risk bilincinden yoksundur. Bu rapordan anlaşıldığına göre, bu protokol ekibi bu durumu derinlemesine düşünmemiş gibi görünüyor.

Tüm Merkezi Olmayan Finans ekipleri için, saf teknik düşüncenin sınırlamalarını aşmak ve gerçek "finans mühendisleri" güvenlik risk bilincini geliştirmek son derece önemlidir. Aşağıdaki önlemler dikkate alınabilir:

• Finansal risk yönetimi uzmanlarını dahil ederek, teknik ekibin bilgi boşluklarını kapatmak
• Çoklu denetim inceleme mekanizmasının uygulanması, yalnızca kod denetimine değil, aynı zamanda ekonomik model denetimine de önem verilmesini gerektirir.
• "Finans kokusu" geliştirmek, çeşitli saldırı senaryolarını simüle etmek ve yanıt önlemleri belirlemek, anormal işlemlere karşı yüksek bir dikkatle yaklaşmak.

Sektörün olgunlaşmasıyla birlikte, kod seviyesindeki teknik açıklar giderek azalacak, ancak sınırların belirsiz olduğu ve sorumlulukların bulanık olduğu iş mantığı "bilinç açıkları" en büyük zorluk haline gelecektir. Denetim şirketleri kodun hatasız olmasını garanti edebilir, ancak "mantığın sınırları olması" nasıl sağlanır, bunun için proje ekibinin işin özüne dair daha derin bir anlayış ve kontrol yeteneğine sahip olması gerekmektedir.

Merkezi Olmayan Finansın geleceği, hem kod teknolojisinde hem de iş mantığını derinlemesine anlayan ekiplerin olacaktır.