Recientemente, un informe de análisis de un evento de seguridad sobre un protocolo DeFi que sufrió un ataque de hackers ha generado una amplia discusión en la industria. Este informe tiene una transparencia extrema en los detalles técnicos y en la respuesta de emergencia, siendo considerado de nivel de libro de texto. Sin embargo, al responder a la pregunta central "¿por qué fue hackeado?", la actitud del informe parece eludir el tema principal.
El informe se centra en explicar el error de verificación de cierta función de biblioteca matemática, calificándolo como "malentendido semántico". Aunque esta descripción no tiene fallos técnicos, astutamente desvía el enfoque hacia la responsabilidad externa, como si el protocolo también fuera solo una de las víctimas de este defecto técnico.
Sin embargo, al analizar detenidamente la ruta de ataque del Hacker, se puede descubrir que para lograr un ataque tan perfecto, se deben cumplir simultáneamente cuatro condiciones: verificación de desbordamiento incorrecta, operaciones de desplazamiento extremo, reglas de redondeo hacia arriba y falta de validación de razonabilidad económica. Sorprendentemente, el protocolo mostró negligencia en cada una de las condiciones "disparadoras", como aceptar cifras astronómicas como entrada de usuario, utilizar operaciones de desplazamiento extremadamente peligrosas, confiar completamente en el mecanismo de verificación de bibliotecas externas y, lo más fatal, cuando el sistema calculó una tasa de intercambio absurda, se ejecutó directamente sin ninguna verificación de sentido económico.
Este evento revela que el equipo del protocolo tiene serios problemas en los siguientes aspectos:
Falta de conciencia sobre la seguridad en la cadena de suministro: aunque se utilizan bibliotecas de código abierto y de uso generalizado, al gestionar activos enormes, no se ha comprendido adecuadamente los límites de seguridad de la biblioteca y las posibles fallas.
Falta de talento en gestión de riesgos financieros: permitir la entrada de cifras astronómicas irracionales muestra que el equipo carece de expertos en gestión de riesgos con intuición financiera.
Dependencia excesiva de las auditorías de seguridad: Después de múltiples rondas de auditoría de seguridad, aún no se han encontrado problemas, lo que expone la falacia de que el equipo del proyecto externaliza completamente la responsabilidad de seguridad a la empresa de seguridad.
Este caso revela de manera profunda la debilidad sistemática de seguridad en la industria DeFi: los equipos con un trasfondo puramente técnico a menudo carecen de un "olfato para el riesgo financiero" básico.
Para hacer frente a este desafío, los equipos de proyectos de Finanzas descentralizadas deberían:
Introducir expertos en gestión de riesgos financieros para cubrir las lagunas de conocimiento del equipo técnico.
Establecer un mecanismo de auditoría múltiple, que no solo se centre en la auditoría del código, sino que también dé importancia a la auditoría del modelo económico.
Cultivar el "olfato financiero", simular varios escenarios de ataque y desarrollar medidas de respuesta correspondientes.
Mantenerse alerta ante operaciones anómalas.
Con el continuo desarrollo de la industria, los errores técnicos puros pueden disminuir gradualmente, pero los "errores de conciencia" en la lógica de negocio se convertirán en un desafío mayor. Las empresas de auditoría solo pueden asegurar que el código sea correcto, mientras que garantizar que "la lógica tenga límites" requiere que el equipo del proyecto tenga una comprensión y capacidad de control más profunda sobre la esencia del negocio.
En el futuro, los líderes de la industria de Finanzas descentralizadas serán aquellos equipos que no solo tengan una sólida capacidad técnica, sino que también comprendan profundamente la lógica empresarial. Podrán encontrar un equilibrio perfecto entre la innovación tecnológica y la gestión del riesgo financiero, ofreciendo a los usuarios servicios de finanzas descentralizadas que sean seguros y eficientes.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
14 me gusta
Recompensa
14
7
Compartir
Comentar
0/400
DaoResearcher
· 07-18 18:04
En la plataforma, se estima que el 93% de los incidentes de hackers son esencialmente fallos en el control de riesgos económicos, siendo los errores técnicos solo un punto de activación, referencia a la literatura [2018, Chen]
Ver originalesResponder0
GateUser-74b10196
· 07-18 14:04
Esta olla se mueve muy bien.
Ver originalesResponder0
0xSunnyDay
· 07-16 21:28
¿Ya estás echando la culpa otra vez? Estoy cansado de verlo.
Ver originalesResponder0
MagicBean
· 07-16 21:28
Volvió a echar la culpa diciendo que hay un problema con la función de la biblioteca.
Ver originalesResponder0
TokenVelocity
· 07-16 21:23
¡Suelta la responsabilidad, juega bien!
Ver originalesResponder0
MemecoinResearcher
· 07-16 21:11
jaja, clásico juego de culpas... mis modelos de regresión lo vieron venir, la verdad
El protocolo DeFi fue atacado por hackers: desde una perspectiva puramente técnica, es difícil hacer frente a los riesgos financieros.
Recientemente, un informe de análisis de un evento de seguridad sobre un protocolo DeFi que sufrió un ataque de hackers ha generado una amplia discusión en la industria. Este informe tiene una transparencia extrema en los detalles técnicos y en la respuesta de emergencia, siendo considerado de nivel de libro de texto. Sin embargo, al responder a la pregunta central "¿por qué fue hackeado?", la actitud del informe parece eludir el tema principal.
El informe se centra en explicar el error de verificación de cierta función de biblioteca matemática, calificándolo como "malentendido semántico". Aunque esta descripción no tiene fallos técnicos, astutamente desvía el enfoque hacia la responsabilidad externa, como si el protocolo también fuera solo una de las víctimas de este defecto técnico.
Sin embargo, al analizar detenidamente la ruta de ataque del Hacker, se puede descubrir que para lograr un ataque tan perfecto, se deben cumplir simultáneamente cuatro condiciones: verificación de desbordamiento incorrecta, operaciones de desplazamiento extremo, reglas de redondeo hacia arriba y falta de validación de razonabilidad económica. Sorprendentemente, el protocolo mostró negligencia en cada una de las condiciones "disparadoras", como aceptar cifras astronómicas como entrada de usuario, utilizar operaciones de desplazamiento extremadamente peligrosas, confiar completamente en el mecanismo de verificación de bibliotecas externas y, lo más fatal, cuando el sistema calculó una tasa de intercambio absurda, se ejecutó directamente sin ninguna verificación de sentido económico.
Este evento revela que el equipo del protocolo tiene serios problemas en los siguientes aspectos:
Falta de conciencia sobre la seguridad en la cadena de suministro: aunque se utilizan bibliotecas de código abierto y de uso generalizado, al gestionar activos enormes, no se ha comprendido adecuadamente los límites de seguridad de la biblioteca y las posibles fallas.
Falta de talento en gestión de riesgos financieros: permitir la entrada de cifras astronómicas irracionales muestra que el equipo carece de expertos en gestión de riesgos con intuición financiera.
Dependencia excesiva de las auditorías de seguridad: Después de múltiples rondas de auditoría de seguridad, aún no se han encontrado problemas, lo que expone la falacia de que el equipo del proyecto externaliza completamente la responsabilidad de seguridad a la empresa de seguridad.
Este caso revela de manera profunda la debilidad sistemática de seguridad en la industria DeFi: los equipos con un trasfondo puramente técnico a menudo carecen de un "olfato para el riesgo financiero" básico.
Para hacer frente a este desafío, los equipos de proyectos de Finanzas descentralizadas deberían:
Con el continuo desarrollo de la industria, los errores técnicos puros pueden disminuir gradualmente, pero los "errores de conciencia" en la lógica de negocio se convertirán en un desafío mayor. Las empresas de auditoría solo pueden asegurar que el código sea correcto, mientras que garantizar que "la lógica tenga límites" requiere que el equipo del proyecto tenga una comprensión y capacidad de control más profunda sobre la esencia del negocio.
En el futuro, los líderes de la industria de Finanzas descentralizadas serán aquellos equipos que no solo tengan una sólida capacidad técnica, sino que también comprendan profundamente la lógica empresarial. Podrán encontrar un equilibrio perfecto entre la innovación tecnológica y la gestión del riesgo financiero, ofreciendo a los usuarios servicios de finanzas descentralizadas que sean seguros y eficientes.