Анализ инцидента с хакером Cetus: как проектам Децентрализованные финансы избежать двойных ловушек технических и финансовых рисков

Cetus Protocol недавно опубликовал отчет о безопасности после хакерской атаки, что вызвало глубокие размышления в индустрии о проблемах безопасности Децентрализованных финансов. В отчете подробно изложены технические детали и процесс реагирования на чрезвычайные ситуации, но при объяснении причин атаки он выглядит несколько неясным.

Доклад сосредоточен на обсуждении ошибки проверки функции checked_shlw в библиотеке integer-mate, квалифицируя её как "семантическое недоразумение". Хотя это утверждение может быть верным с технической точки зрения, оно, похоже, намеренно пытается переложить ответственность на внешние факторы.

Однако, после глубокого анализа было обнаружено, что успешная атака Хакера требует одновременного выполнения четырех условий: ошибка проверки переполнения, значительные сдвиговые операции, правила округления вверх и отсутствие проверки экономической целесообразности. Удивительно, но в этих четырех ключевых моментах Cetus проявила небрежность.

Это событие выявило недостатки команды Cetus в следующих аспектах:

1. Слабая осведомленность о безопасности цепочки поставок: хотя используются открытые и широко применяемые библиотеки, не удалось должным образом понять их границы безопасности и потенциальные риски.

2. Недостаток осознания управления финансовыми рисками: разрешение на ввод неразумных астрономических чисел, отсутствие установленных надлежащих пределов.

3. Чрезмерная зависимость от аудита безопасности: полное делегирование ответственности за безопасность аудиторским компаниям игнорирует собственные обязанности по управлению рисками.

Это событие отражает системные уязвимости, широко распространенные в индустрии Децентрализованных финансов: технические команды часто не обладают необходимым финансовым риском. Чтобы справиться с этой проблемой, проекты DeFi должны:

1. Привлечение экспертов в области финансового риска для устранения пробелов в знаниях технической команды.
2. Создание многостороннего механизма аудита, который не только учитывает аудит кода, но и придает значение аудиту экономической модели.
3. Развивайте "финансовое чутье", моделируйте различные сценарии атак и разрабатывайте соответствующие меры реагирования.

С развитием отрасли чисто технические ошибки могут постепенно уменьшиться, но "осознанные ошибки" в бизнес-логике станут более серьезной проблемой. Аудиторские компании могут лишь гарантировать правильность кода, в то время как обеспечение "граничности логики" требует от проектной команды более глубокого понимания и контроля над сущностью бизнеса.

В будущем лидерами в индустрии Децентрализованных финансов станут команды, которые не только обладают сильными техническими навыками, но и имеют глубокое понимание бизнес-логики. Им необходимо найти баланс между технической экспертизой и финансовой проницательностью, чтобы сохранить конкурентное преимущество в этой быстро развивающейся области.