Recentemente, um relatório de revisão de um incidente de segurança sobre um protocolo DeFi que sofreu um ataque de hacker gerou ampla discussão na indústria. Este relatório é extremamente transparente em termos de detalhes técnicos e resposta a emergências, podendo ser considerado de nível acadêmico. No entanto, ao responder à pergunta central "por que foi hackeado", a atitude do relatório parece um tanto evasiva.
O relatório enfatizou a explicação de erros de verificação de certas funções de biblioteca matemática, qualificando-os como "mal-entendidos semânticos". Embora essa descrição seja tecnicamente defensável, desloca habilmente o foco para a responsabilidade externa, como se o protocolo também fosse uma das vítimas dessa falha técnica.
No entanto, uma análise cuidadosa do caminho de ataque do Hacker revela que, para realizar um ataque tão perfeito, é necessário satisfazer simultaneamente quatro condições: verificação de estouro de erro, operações de deslocamento extremo, regras de arredondamento para cima e falta de verificação de viabilidade econômica. Surpreendentemente, o protocolo falhou em cada uma das condições de "gatilho", como aceitar números astronômicos como entrada do usuário, empregar operações de deslocamento extremo extremamente perigosas, confiar completamente no mecanismo de verificação de bibliotecas externas e, o mais fatal, quando o sistema calculou uma proporção de troca absurda, executou diretamente sem qualquer verificação de bom senso econômico.
Este evento revelou sérios problemas na equipe do protocolo em vários aspectos:
Consciência insuficiente sobre a segurança da cadeia de suprimentos: embora tenha sido utilizado um repositório de código aberto amplamente aplicado, não se compreendeu adequadamente os limites de segurança desse repositório e as possíveis situações de falha ao gerenciar ativos consideráveis.
Falta de talento em gestão de risco financeiro: permitir a entrada de números astronômicos irrealistas demonstra que a equipe carece de especialistas em gestão de risco com intuição financeira.
Dependência excessiva de auditorias de segurança: após múltiplas auditorias de segurança, ainda não foram encontrados problemas, expondo o erro do projeto de delegar completamente a responsabilidade de segurança a empresas de segurança.
Este caso revela profundamente a lacuna de segurança sistêmica na indústria de Finanças Descentralizadas: equipes com formação puramente técnica muitas vezes carecem de um "instinto de risco financeiro" básico.
Para enfrentar esse desafio, as equipes de projetos de Finanças Descentralizadas devem:
Introduzir especialistas em gestão de risco financeiro para suprir as lacunas de conhecimento da equipe técnica.
Estabelecer um mecanismo de auditoria de múltiplas partes, que não só se concentre na auditoria de código, mas também dê importância à auditoria do modelo económico.
Desenvolver o "instinto financeiro", simular vários cenários de ataque e formular medidas de resposta adequadas.
Mantenha alta vigilância sobre operações anormais.
Com o desenvolvimento contínuo da indústria, os bugs puramente técnicos podem gradualmente diminuir, mas os "bugs de consciência" na lógica de negócios se tornarão um desafio maior. As empresas de auditoria podem apenas garantir que o código esteja correto, enquanto garantir que a "lógica tenha limites" requer que a equipe do projeto tenha uma compreensão e controle mais profundos da essência do negócio.
No futuro, os líderes da indústria de Finanças Descentralizadas serão aqueles que não só tenham uma forte capacidade técnica, mas também uma compreensão profunda da lógica de negócios. Eles serão capazes de encontrar um equilíbrio perfeito entre inovação tecnológica e gestão de riscos financeiros, oferecendo aos usuários serviços financeiros descentralizados que sejam seguros e eficientes.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
14 gostos
Recompensa
14
7
Partilhar
Comentar
0/400
DaoResearcher
· 07-18 18:04
Estatísticas da plataforma mostram que 93% dos incidentes de hacker são essencialmente falhas de controle econômico, sendo os bugs técnicos apenas pontos de gatilho, referência à literatura citada [2018,Chen]
Ver originalResponder0
GateUser-74b10196
· 07-18 14:04
Esta panela está a rodar muito bem.
Ver originalResponder0
0xSunnyDay
· 07-16 21:28
Está a culpar os outros novamente? Já estou cansado de ver isso.
Ver originalResponder0
MagicBean
· 07-16 21:28
E novamente a culpa é dos problemas com a função da biblioteca.
Ver originalResponder0
TokenVelocity
· 07-16 21:23
Desviar a culpa é fácil, não é!
Ver originalResponder0
MemecoinResearcher
· 07-16 21:11
lmao clássico jogo de culpas... os meus modelos de regressão previram isto, para ser honesto
Finanças Descentralizadas protocolo遭 Hacker攻击:纯技术视角难以应对金融风险
Recentemente, um relatório de revisão de um incidente de segurança sobre um protocolo DeFi que sofreu um ataque de hacker gerou ampla discussão na indústria. Este relatório é extremamente transparente em termos de detalhes técnicos e resposta a emergências, podendo ser considerado de nível acadêmico. No entanto, ao responder à pergunta central "por que foi hackeado", a atitude do relatório parece um tanto evasiva.
O relatório enfatizou a explicação de erros de verificação de certas funções de biblioteca matemática, qualificando-os como "mal-entendidos semânticos". Embora essa descrição seja tecnicamente defensável, desloca habilmente o foco para a responsabilidade externa, como se o protocolo também fosse uma das vítimas dessa falha técnica.
No entanto, uma análise cuidadosa do caminho de ataque do Hacker revela que, para realizar um ataque tão perfeito, é necessário satisfazer simultaneamente quatro condições: verificação de estouro de erro, operações de deslocamento extremo, regras de arredondamento para cima e falta de verificação de viabilidade econômica. Surpreendentemente, o protocolo falhou em cada uma das condições de "gatilho", como aceitar números astronômicos como entrada do usuário, empregar operações de deslocamento extremo extremamente perigosas, confiar completamente no mecanismo de verificação de bibliotecas externas e, o mais fatal, quando o sistema calculou uma proporção de troca absurda, executou diretamente sem qualquer verificação de bom senso econômico.
Este evento revelou sérios problemas na equipe do protocolo em vários aspectos:
Consciência insuficiente sobre a segurança da cadeia de suprimentos: embora tenha sido utilizado um repositório de código aberto amplamente aplicado, não se compreendeu adequadamente os limites de segurança desse repositório e as possíveis situações de falha ao gerenciar ativos consideráveis.
Falta de talento em gestão de risco financeiro: permitir a entrada de números astronômicos irrealistas demonstra que a equipe carece de especialistas em gestão de risco com intuição financeira.
Dependência excessiva de auditorias de segurança: após múltiplas auditorias de segurança, ainda não foram encontrados problemas, expondo o erro do projeto de delegar completamente a responsabilidade de segurança a empresas de segurança.
Este caso revela profundamente a lacuna de segurança sistêmica na indústria de Finanças Descentralizadas: equipes com formação puramente técnica muitas vezes carecem de um "instinto de risco financeiro" básico.
Para enfrentar esse desafio, as equipes de projetos de Finanças Descentralizadas devem:
Com o desenvolvimento contínuo da indústria, os bugs puramente técnicos podem gradualmente diminuir, mas os "bugs de consciência" na lógica de negócios se tornarão um desafio maior. As empresas de auditoria podem apenas garantir que o código esteja correto, enquanto garantir que a "lógica tenha limites" requer que a equipe do projeto tenha uma compreensão e controle mais profundos da essência do negócio.
No futuro, os líderes da indústria de Finanças Descentralizadas serão aqueles que não só tenham uma forte capacidade técnica, mas também uma compreensão profunda da lógica de negócios. Eles serão capazes de encontrar um equilíbrio perfeito entre inovação tecnológica e gestão de riscos financeiros, oferecendo aos usuários serviços financeiros descentralizados que sejam seguros e eficientes.