Отчет по безопасности Децентрализованных финансов Протокола выявляет недостатки в управлении рисками и призывает к формированию сознания финансовых инженеров.

Недавно известный децентрализованный финансовый протокол опубликовал отчет о безопасности после атаки хакера. Этот отчет, хотя и продемонстрировал отличные результаты в технических деталях и реагировании на чрезвычайные ситуации, однако оказался расплывчатым в объяснении причин атаки.

Доклад сосредоточен на обсуждении ошибок проверки функций в открытой математической библиотеке, классифицируя их как "семантическое недоразумение". С технической точки зрения это утверждение верно, но ловко смещает акцент на внешние факторы, как будто протокол сам по себе также является жертвой этого технического дефекта.

Однако, при тщательном анализе пути атаки Хакера можно обнаружить, что для успешного осуществления атаки необходимо одновременно выполнить четыре условия: ошибка в проверке переполнения, значительное смещение операций, правило округления вверх и отсутствие проверки экономической целесообразности. Удивительно, но в Протоколе была допущена халатность по каждому из триггерных условий.

Это выявило несколько ключевых проблем:

1. Почему при использовании универсальных внешних библиотек не было проведено достаточного тестирования безопасности? Хотя эта библиотека обладает такими характеристиками, как открытость и популярность, команда протокола, похоже, не полностью осознает ее границы безопасности при управлении такими огромными активами.

2. Почему разрешено вводить неразумные астрономические числа без установления границ? Хотя Децентрализованное финансирование стремится к открытости, зрелая финансовая система нуждается в четких границах. Разрешение ввода таких преувеличенных значений указывает на то, что команда может испытывать нехватку специалистов по управлению рисками с финансовой интуицией.

3. Почему многоступенчатый аудит безопасности все еще не обнаружил проблемы заранее? Это отражает общее заблуждение: проектные команды чрезмерно полагаются на аудит безопасности, рассматривая его как золотую медаль освобождения от ответственности. Однако инженеры по аудиту безопасности сосредоточены на выявлении уязвимостей в коде и трудно предсказать, что система может создать такие неразумные обменные коэффициенты.

Это событие выявило системные недостатки безопасности в сфере децентрализованного финансирования: команды с чисто техническим фоном часто лишены базового финансового риск-менеджмента. Судя по этому отчету, команда протокола, похоже, не провела глубокого анализа этого вопроса.

Для всех команд по децентрализованному финансированию крайне важно преодолеть ограничения чисто технического мышления и воспитать настоящую осведомленность о рисках безопасности у "финансовых инженеров". Можно рассмотреть следующие меры:

• Привлечение специалистов по финансовому контролю для заполнения пробелов в знаниях технической команды
• Реализация механизма многостороннего аудита и проверки, который не только обращает внимание на аудит кода, но и придает значение аудиту экономической модели.
• Развивайте "финансовую интуицию", моделируйте различные сценарии атак и разрабатывайте меры реагирования, оставайтесь на высоте бдительности к аномальным действиям

С учетом того, что отрасль становится все более зрелой, технические уязвимости на уровне кода будут постепенно уменьшаться, в то время как "осознанные уязвимости" в бизнес-логике с нечеткими границами и неясными обязанностями станут главной проблемой. Аудиторские компании могут гарантировать отсутствие уязвимостей в коде, но то, как достичь "логических границ", требует от команды проекта более глубокого понимания и контроля сущности бизнеса.

Будущее децентрализованного финансирования принадлежит командам, которые одновременно владеют технологиями кода и глубоко понимают бизнес-логику.