أثارت تقرير مؤخر حول حادثة أمنية تعرض بروتوكول DeFi معين لهجوم هاكر نقاشًا واسعًا في الصناعة. يتميز هذا التقرير بشفافية عالية في التفاصيل الفنية واستجابة الطوارئ، ويمكن اعتباره مستوى تعليمي. ومع ذلك، عند الإجابة عن السؤال الأساسي "لماذا تعرض للهجوم"، يبدو أن موقف التقرير يتجنب بعض النقاط الهامة.
تقرير يركز على شرح خطأ فحص دالة رياضية معينة، ويصفه بأنه "سوء فهم دلالي". على الرغم من أن هذا السرد لا يمكن الاعتراض عليه من الناحية الفنية، إلا أنه يحول بمهارة التركيز إلى المسؤولية الخارجية، وكأن البروتوكول هو أيضًا واحد من ضحايا هذا العيب الفني.
ومع ذلك، عند تحليل مسار الهجوم للهاكر بدقة، ستجد أنه لتحقيق هجوم مثالي مثل هذا، يجب تلبية أربعة شروط في وقت واحد: التحقق الخاطئ من الفيض، العمليات الحسابية الكبيرة، قاعدة التقريب للأعلى، ونقص التحقق من الجدوى الاقتصادية. من المدهش أن هذا البروتوكول قد أهمل في كل "شرط" من شروط "التفعيل"، مثل قبول أرقام فلكية كمدخلات من المستخدم، واستخدام عمليات حسابية كبيرة خطيرة بشكل كبير، والثقة الكاملة في آلية التحقق من المكتبات الخارجية، والأكثر فتكاً هو أنه عندما تحسب النظام نسبة تبادل غير معقولة، لم يكن هناك أي تحقق من الفطرة الاقتصادية وتم التنفيذ مباشرة.
كشفت هذه الحادثة عن وجود مشكلات خطيرة لدى فريق البروتوكول في الجوانب التالية:
نقص الوعي بأمان سلسلة التوريد: على الرغم من استخدام مكتبات مفتوحة المصدر وشائعة الاستخدام، إلا أنه عند إدارة أصول ضخمة، لم يتمكنوا من فهم حدود أمان هذه المكتبة وحالات الفشل المحتملة.
نقص في الكوادر المتخصصة في إدارة المخاطر المالية: السماح بإدخال أرقام فلكية غير معقولة، مما يظهر أن الفريق يفتقر إلى خبراء إدارة المخاطر الذين يمتلكون الحدس المالي.
الاعتماد المفرط على تدقيق الأمان: بعد عدة جولات من تدقيق الأمان، لم يتم اكتشاف أي مشاكل، مما يكشف عن خطأ المشروع في إلقاء مسؤولية الأمان بالكامل على شركات الأمان.
هذه الحالة تكشف بعمق عن نقاط الضعف النظامية في أمان صناعة التمويل اللامركزي: الفرق التي لديها خلفية تقنية بحتة غالبًا ما تفتقر إلى "حس المخاطر المالية" الأساسي.
لمواجهة هذا التحدي، ينبغي على فريق مشروع التمويل اللامركزي :
استقطاب خبراء في إدارة المخاطر المالية لسد الفجوات المعرفية في الفريق الفني.
إنشاء آلية مراجعة تدقيق متعددة الأطراف، لا تركز فقط على تدقيق الشيفرة، بل يجب أيضًا إيلاء أهمية لتدقيق النموذج الاقتصادي.
تنمية "حاسة المال"، محاكاة سيناريوهات الهجوم المختلفة ووضع تدابير الاستجابة المناسبة.
كن على حذر شديد من العمليات غير الطبيعية.
مع استمرار تطور الصناعة، قد تتناقص الأخطاء التقنية البحتة تدريجياً، ولكن ستصبح "أخطاء الوعي" في منطق العمل تحدياً أكبر. يمكن لشركات التدقيق التأكد من صحة الكود، ولكن كيفية ضمان "وجود حدود للمنطق" تتطلب من فريق المشروع فهماً أعمق وقدرة على السيطرة على جوهر العمل.
في المستقبل، سيكون قادة صناعة التمويل اللامركزي هم أولئك الذين يتمتعون بقدرات تقنية قوية وفهم عميق للمنطق التجاري. إنهم قادرون على إيجاد التوازن المثالي بين الابتكار التكنولوجي وإدارة المخاطر المالية، مما يوفر للمستخدمين خدمات مالية لامركزية آمنة وفعالة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 14
أعجبني
14
7
مشاركة
تعليق
0/400
DaoResearcher
· 07-18 18:04
تشير الإحصائيات على المنصة إلى أن 93% من حوادث هاكر هي في الأساس نتيجة لفشل في إدارة المخاطر الاقتصادية، بينما يعتبر خطأ تقني مجرد نقطة تفعيل، راجع المراجع [2018، تشين]
شاهد النسخة الأصليةرد0
GateUser-74b10196
· 07-18 14:04
هذه المقلاة تدور بشكل رائع!
شاهد النسخة الأصليةرد0
0xSunnyDay
· 07-16 21:28
هل لا تزال تلقي اللوم على الآخرين؟ لقد تعبت من ذلك.
شاهد النسخة الأصليةرد0
MagicBean
· 07-16 21:28
مرة أخرى يلومون على أن هناك مشكلة في دالة المكتبة
شاهد النسخة الأصليةرد0
TokenVelocity
· 07-16 21:23
تخلص من المسؤولية بمهارة!
شاهد النسخة الأصليةرد0
MemecoinResearcher
· 07-16 21:11
لماو لعبة اللوم الكلاسيكية... نماذج الانحدار الخاصة بي توقعت هذا بصراحة
التمويل اللامركزي بروتوكول遭هاكر攻击:纯技术视角难以应对金融风险
أثارت تقرير مؤخر حول حادثة أمنية تعرض بروتوكول DeFi معين لهجوم هاكر نقاشًا واسعًا في الصناعة. يتميز هذا التقرير بشفافية عالية في التفاصيل الفنية واستجابة الطوارئ، ويمكن اعتباره مستوى تعليمي. ومع ذلك، عند الإجابة عن السؤال الأساسي "لماذا تعرض للهجوم"، يبدو أن موقف التقرير يتجنب بعض النقاط الهامة.
تقرير يركز على شرح خطأ فحص دالة رياضية معينة، ويصفه بأنه "سوء فهم دلالي". على الرغم من أن هذا السرد لا يمكن الاعتراض عليه من الناحية الفنية، إلا أنه يحول بمهارة التركيز إلى المسؤولية الخارجية، وكأن البروتوكول هو أيضًا واحد من ضحايا هذا العيب الفني.
ومع ذلك، عند تحليل مسار الهجوم للهاكر بدقة، ستجد أنه لتحقيق هجوم مثالي مثل هذا، يجب تلبية أربعة شروط في وقت واحد: التحقق الخاطئ من الفيض، العمليات الحسابية الكبيرة، قاعدة التقريب للأعلى، ونقص التحقق من الجدوى الاقتصادية. من المدهش أن هذا البروتوكول قد أهمل في كل "شرط" من شروط "التفعيل"، مثل قبول أرقام فلكية كمدخلات من المستخدم، واستخدام عمليات حسابية كبيرة خطيرة بشكل كبير، والثقة الكاملة في آلية التحقق من المكتبات الخارجية، والأكثر فتكاً هو أنه عندما تحسب النظام نسبة تبادل غير معقولة، لم يكن هناك أي تحقق من الفطرة الاقتصادية وتم التنفيذ مباشرة.
كشفت هذه الحادثة عن وجود مشكلات خطيرة لدى فريق البروتوكول في الجوانب التالية:
نقص الوعي بأمان سلسلة التوريد: على الرغم من استخدام مكتبات مفتوحة المصدر وشائعة الاستخدام، إلا أنه عند إدارة أصول ضخمة، لم يتمكنوا من فهم حدود أمان هذه المكتبة وحالات الفشل المحتملة.
نقص في الكوادر المتخصصة في إدارة المخاطر المالية: السماح بإدخال أرقام فلكية غير معقولة، مما يظهر أن الفريق يفتقر إلى خبراء إدارة المخاطر الذين يمتلكون الحدس المالي.
الاعتماد المفرط على تدقيق الأمان: بعد عدة جولات من تدقيق الأمان، لم يتم اكتشاف أي مشاكل، مما يكشف عن خطأ المشروع في إلقاء مسؤولية الأمان بالكامل على شركات الأمان.
هذه الحالة تكشف بعمق عن نقاط الضعف النظامية في أمان صناعة التمويل اللامركزي: الفرق التي لديها خلفية تقنية بحتة غالبًا ما تفتقر إلى "حس المخاطر المالية" الأساسي.
لمواجهة هذا التحدي، ينبغي على فريق مشروع التمويل اللامركزي :
مع استمرار تطور الصناعة، قد تتناقص الأخطاء التقنية البحتة تدريجياً، ولكن ستصبح "أخطاء الوعي" في منطق العمل تحدياً أكبر. يمكن لشركات التدقيق التأكد من صحة الكود، ولكن كيفية ضمان "وجود حدود للمنطق" تتطلب من فريق المشروع فهماً أعمق وقدرة على السيطرة على جوهر العمل.
في المستقبل، سيكون قادة صناعة التمويل اللامركزي هم أولئك الذين يتمتعون بقدرات تقنية قوية وفهم عميق للمنطق التجاري. إنهم قادرون على إيجاد التوازن المثالي بين الابتكار التكنولوجي وإدارة المخاطر المالية، مما يوفر للمستخدمين خدمات مالية لامركزية آمنة وفعالة.