Revisão do incidente do hacker Cetus: como os projetos DeFi podem evitar armadilhas duplas de riscos técnicos e financeiros

O Cetus Protocol lançou recentemente um relatório de revisão de segurança sobre ataques de Hacker, que gerou uma profunda reflexão sobre as questões de segurança em Finanças Descentralizadas no setor. O relatório detalha os aspectos técnicos e o processo de resposta a emergências, mas ao explicar as causas do ataque, é um pouco vago.

O relatório discute em destaque o erro de verificação da função checked_shlw na biblioteca integer-mate, qualificando-o como "mal-entendido semântico". Embora essa afirmação possa ser válida em um nível técnico, parece haver uma intenção de transferir a responsabilidade para fatores externos.

No entanto, após uma análise aprofundada, descobriu-se que o sucesso de um ataque Hacker requer que quatro condições sejam atendidas simultaneamente: verificação de estouro incorreta, operações de deslocamento em grande escala, regras de arredondamento para cima e falta de validação de viabilidade econômica. Surpreendentemente, a Cetus apresentou descuidos em esses quatro pontos-chave.

Este incidente expôs as deficiências da equipe Cetus em vários aspectos:

1. Consciência de segurança da cadeia de suprimentos fraca: embora tenha sido utilizado bibliotecas de código aberto amplamente aplicadas, não foi possível entender plenamente suas fronteiras de segurança e riscos potenciais.

2. Falta de consciência sobre a gestão de riscos financeiros: permite a entrada de números astronômicos irracionais, sem definir limites adequados.

3. Dependência excessiva de auditorias de segurança: externalizar completamente a responsabilidade de segurança para empresas de auditoria, ignorando a própria responsabilidade de gestão de riscos.

Este evento reflete a vulnerabilidade sistêmica comum na indústria DeFi: as equipes técnicas muitas vezes carecem da consciência necessária sobre riscos financeiros. Para enfrentar este desafio, os projetos DeFi devem:

1. Introduzir especialistas em gestão de riscos financeiros para preencher as lacunas de conhecimento da equipe técnica.
2. Estabelecer um mecanismo de auditoria múltipla, não apenas focando na auditoria de código, mas também dando importância à auditoria do modelo econômico.
3. Cultivar o "instinto financeiro", simular vários cenários de ataque e desenvolver medidas de resposta correspondentes.

Com o desenvolvimento da indústria, os Bugs técnicos puros podem gradualmente diminuir, mas os "Bugs de consciência" na lógica de negócios se tornarão um desafio maior. As empresas de auditoria só podem garantir que o código esteja correto, enquanto garantir que a "lógica tenha limites" requer que a equipe do projeto tenha uma compreensão mais profunda e capacidade de controle sobre a essência do negócio.

No futuro, os líderes da indústria DeFi serão aqueles que possuem não apenas uma forte capacidade técnica, mas também uma compreensão profunda da lógica de negócios. Eles precisam encontrar um equilíbrio entre a especialização técnica e a perspicácia financeira para manter uma vantagem competitiva neste campo em rápida evolução.