Relatório de segurança do protocolo DeFi expõe lacunas na gestão de riscos e apela à conscientização sobre a formação de engenheiros financeiros.

Recentemente, um conhecido protocolo de Finanças Descentralizadas foi alvo de um ataque de Hacker e publicou um relatório de revisão de segurança. Embora este relatório tenha se destacado em detalhes técnicos e resposta a emergências, na explicação da origem do ataque, ele pareceu vago.

O relatório discute principalmente os erros de verificação de funções em uma biblioteca matemática de código aberto, classificando-os como "mal-entendidos semânticos". Essa afirmação não está tecnicamente errada, mas desvia habilmente o foco para fatores externos, como se o próprio protocolo também fosse uma vítima desse defeito técnico.

No entanto, uma análise cuidadosa das rotas de ataque dos hackers revela que a implementação bem-sucedida do ataque requer a satisfação simultânea de quatro condições: verificação de estouro incorreta, operações de deslocamento em grande escala, regras de arredondamento para cima e falta de verificação de viabilidade econômica. Surpreendentemente, o protocolo apresentou negligência em cada uma das condições de ativação.

Isto expôs várias questões-chave:

1. Por que não foram realizados testes de segurança adequados ao adotar bibliotecas externas genéricas? Embora a biblioteca possua características como ser de código aberto e popular, a equipe do protocolo parece não ter compreendido plenamente seus limites de segurança ao gerenciar ativos tão volumosos.

2. Por que é permitido inserir números astronômicos irrealistas sem estabelecer limites? Embora as Finanças Descentralizadas busquem a abertura, sistemas financeiros maduros precisam de limites claros. Permitir a entrada de valores tão exagerados indica que a equipe pode carecer de profissionais de gestão de risco com intuição financeira.

3. Por que as auditorias de segurança em várias rodadas ainda não identificaram problemas previamente? Isso reflete um equívoco comum: as equipes de projeto confiam excessivamente nas auditorias de segurança, tratando-as como um passe livre de responsabilidade. No entanto, os engenheiros de auditoria de segurança se concentram em identificar vulnerabilidades no código, tornando difícil prever que o sistema poderia gerar uma proporção de troca tão irracional.

Este incidente revelou a vulnerabilidade sistémica de segurança na indústria das Finanças Descentralizadas: equipas com um fundo exclusivamente técnico muitas vezes carecem de uma consciência básica dos riscos financeiros. Pelo que é possível observar neste relatório, a equipa do protocolo parece não ter refletido profundamente sobre este ponto.

Para todas as equipas de Finanças Descentralizadas, é crucial quebrar as limitações do pensamento puramente técnico e cultivar a consciência de risco de segurança de verdadeiros "engenheiros financeiros". Podem ser consideradas as seguintes medidas:

• Introduzir especialistas em gestão de riscos financeiros, para preencher as lacunas de conhecimento da equipe técnica
• Implementar um mecanismo de auditoria de múltiplas partes, que não se concentre apenas na auditoria de código, mas também dê importância à auditoria do modelo econômico.
• Desenvolver o "olfato financeiro", simular vários cenários de ataque e formular medidas de resposta, mantendo uma vigilância elevada sobre operações anômalas

À medida que a indústria se torna mais madura, as vulnerabilidades técnicas no nível do código tendem a diminuir, enquanto as "vulnerabilidades de consciência" na lógica de negócios, que são ambíguas e têm responsabilidades pouco claras, se tornarão o maior desafio. As empresas de auditoria podem garantir que o código não tenha falhas, mas como implementar "lógica com limites" requer que a equipe do projeto tenha uma compreensão e capacidade de controle mais profundas sobre a essência do negócio.

O futuro das Finanças Descentralizadas pertence a equipes que são proficientes em tecnologia de código e que compreendem profundamente a lógica de negócios.