Báo cáo an ninh giao thức DeFi phơi bày điểm yếu trong quản lý rủi ro, kêu gọi nâng cao nhận thức về kỹ sư tài chính.

Gần đây, một giao thức tài chính phi tập trung nổi tiếng đã công bố báo cáo tổng kết an ninh sau khi bị tấn công bởi hacker. Mặc dù báo cáo này thể hiện xuất sắc về chi tiết kỹ thuật và phản ứng khẩn cấp, nhưng lại tỏ ra mơ hồ khi giải thích nguyên nhân của cuộc tấn công.

Báo cáo tập trung thảo luận về lỗi kiểm tra hàm trong một thư viện toán học mã nguồn mở, phân loại nó là "hiểu sai ngữ nghĩa". Cách nói này về mặt kỹ thuật là không sai, nhưng khéo léo chuyển trọng tâm sang các yếu tố bên ngoài, dường như giao thức cũng là nạn nhân của khiếm khuyết kỹ thuật này.

Tuy nhiên, phân tích kỹ lưỡng các con đường tấn công của hacker sẽ phát hiện ra rằng việc thực hiện thành công cuộc tấn công cần phải thỏa mãn đồng thời bốn điều kiện: kiểm tra tràn sai, phép toán dịch chuyển lớn, quy tắc làm tròn lên và thiếu xác minh tính hợp lý kinh tế. Thật đáng ngạc nhiên, giao thức này đã mắc phải sự sơ suất ở mỗi điều kiện kích hoạt.

Điều này đã phơi bày ra một số vấn đề then chốt:

1. Tại sao không thực hiện kiểm tra an ninh đầy đủ khi sử dụng thư viện bên ngoài phổ biến? Mặc dù thư viện này có các đặc điểm như mã nguồn mở và phổ biến, nhưng khi quản lý tài sản khổng lồ như vậy, nhóm giao thức dường như không hiểu đầy đủ các ranh giới an ninh của nó.

2. Tại sao lại cho phép nhập những con số khổng lồ không hợp lý mà không đặt ra giới hạn? Mặc dù tài chính phi tập trung theo đuổi sự mở rộng, nhưng các hệ thống tài chính trưởng thành lại cần những giới hạn rõ ràng hơn. Việc cho phép nhập những giá trị phóng đại như vậy cho thấy đội ngũ có thể thiếu những nhân tài quản lý rủi ro có trực giác tài chính.

3. Tại sao nhiều vòng kiểm toán an ninh vẫn chưa phát hiện ra vấn đề? Điều này phản ánh một quan niệm sai lầm phổ biến: các bên dự án quá phụ thuộc vào kiểm toán an ninh, coi đó như một huy chương miễn trách nhiệm. Tuy nhiên, các kỹ sư kiểm toán an ninh tập trung vào việc phát hiện lỗ hổng mã, rất khó để dự đoán rằng hệ thống có thể tạo ra tỷ lệ trao đổi không hợp lý như vậy.

Sự kiện này đã tiết lộ điểm yếu an ninh hệ thống trong ngành tài chính phi tập trung: các đội ngũ có nền tảng công nghệ thuần túy thường thiếu ý thức về rủi ro tài chính cơ bản. Từ báo cáo này, đội ngũ giao thức dường như không có sự suy ngẫm sâu sắc về điều này.

Đối với tất cả các đội ngũ tài chính phi tập trung, việc vượt qua những giới hạn của tư duy thuần công nghệ và phát triển nhận thức về rủi ro an toàn cho "kỹ sư tài chính" thực sự là rất quan trọng. Có thể xem xét các biện pháp sau:

• Mời các chuyên gia quản lý rủi ro tài chính, bù đắp cho những khoảng trống kiến thức của đội ngũ kỹ thuật
• Triển khai cơ chế kiểm tra kiểm toán đa bên, không chỉ chú trọng vào kiểm toán mã nguồn mà còn cần chú trọng đến kiểm toán mô hình kinh tế.
• Nuôi dưỡng "khứu giác tài chính", mô phỏng các kịch bản tấn công khác nhau và xây dựng các biện pháp đối phó, giữ sự cảnh giác cao độ đối với các hoạt động bất thường

Khi ngành công nghiệp ngày càng trưởng thành, các lỗ hổng kỹ thuật ở cấp mã sẽ dần giảm, trong khi đó, các "lỗ hổng ý thức" trong logic kinh doanh không rõ ràng và trách nhiệm mơ hồ sẽ trở thành thách thức lớn nhất. Các công ty kiểm toán có thể đảm bảo mã không có lỗ hổng, nhưng làm thế nào để đạt được "logic có giới hạn" cần đội ngũ dự án có hiểu biết sâu sắc hơn về bản chất của công việc và khả năng kiểm soát.

Tương lai của tài chính phi tập trung thuộc về những đội ngũ vừa thành thạo kỹ thuật mã hóa, vừa hiểu sâu sắc logic kinh doanh.