Недавний отчет о безопасности, в котором рассматривается инцидент с атакой Хакера на определенный Децентрализованные финансы Протокол, вызвал широкое обсуждение в отрасли. Этот отчет отличается высокой степенью прозрачности в технических деталях и экстренном реагировании, что делает его учебным пособием. Однако, отвечая на ключевой вопрос "почему произошла атака", отчет демонстрирует несколько уклончивый подход.
Доклад акцентирует внимание на проверке ошибок в определенной математической библиотечной функции, квалифицируя это как "семантическое недоразумение". Хотя такое описание технически не вызывает нареканий, оно искусно смещает акцент на внешнюю ответственность, как будто этот протокол является лишь одной из жертв этого технического дефекта.
Однако при тщательном анализе пути атаки хакера можно заметить, что для осуществления такой идеальной атаки необходимо одновременно выполнить четыре условия: ошибка в проверке переполнения, значительные операции смещения, правило округления вверх и отсутствие проверки экономической целесообразности. Удивительно, но в этом протоколе были допущены ошибки по каждому из "триггерных" условий, такие как принятие астрономических чисел в качестве пользовательского ввода, использование крайне опасных значительных операций смещения, полное доверие к механизмам проверки внешних библиотек, и, что наиболее фатально, когда система вычисляет абсурдное соотношение обмена, оно исполняется без какой-либо проверки экономической логики.
Данное событие выявило серьезные проблемы у команды протокола в следующих областях:
Недостаточная осведомленность о безопасности цепочки поставок: несмотря на использование открытых и широко применяемых библиотек, при управлении огромными активами не было должного понимания пределов безопасности этой библиотеки и возможных сценариев отказа.
Отсутствие специалистов по управлению финансовыми рисками: разрешение ввода неразумных астрономических сумм показывает, что команде не хватает экспертов по управлению рисками с финансовой интуицией.
Чрезмерная зависимость от аудита безопасности: даже после нескольких раундов аудита безопасности проблемы не были обнаружены, что выявляет ошибочное мнение проекта о том, что вся ответственность за безопасность полностью передана компании по безопасности.
Этот случай глубоко раскрывает системные недостатки безопасности в индустрии Децентрализованные финансы: команды с чисто техническим фоном часто лишены базового "финансового риск-ощущения".
Чтобы справиться с этой проблемой, командам DeFi проектов следует:
Привлечение экспертов в области финансового контроля для устранения пробелов в знаниях технической команды.
Создать многосторонний механизм аудита и проверки, который будет не только сосредоточен на аудите кода, но и обращать внимание на аудит экономической модели.
Развивайте "финансовую интуицию", моделируйте различные сценарии атак и разрабатывайте соответствующие меры реагирования.
Будьте бдительны к необычным операциям.
С развитием отрасли чистые технические ошибки могут постепенно уменьшаться, но "сознательные ошибки" в бизнес-логике станут более серьезной проблемой. Аудиторские компании могут гарантировать, что код без ошибок, но как обеспечить, чтобы "логика имела границы", требует от команды проекта более глубокого понимания и контроля над сутью бизнеса.
В будущем лидерами индустрии Децентрализованные финансы станут те команды, которые не только обладают мощными техническими возможностями, но и глубоко понимают бизнес-логику. Они смогут найти идеальный баланс между технологическими инновациями и управлением финансовыми рисками, предоставляя пользователям безопасные и эффективные услуги децентрализованных финансов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
14 Лайков
Награда
14
7
Поделиться
комментарий
0/400
DaoResearcher
· 07-18 18:04
По данным платформы, 93% инцидентов с хакерами по сути являются следствием неэффективности экономического контроля рисков, технические ошибки лишь являются триггером, см. литературные источники [2018,Chen]
Посмотреть ОригиналОтветить0
GateUser-74b10196
· 07-18 14:04
Эта сковорода очень хорошо крутится.
Посмотреть ОригиналОтветить0
0xSunnyDay
· 07-16 21:28
Снова пытается свалить вину? Устала смотреть.
Посмотреть ОригиналОтветить0
MagicBean
· 07-16 21:28
Снова сваливают вину на то, что есть проблемы с библиотечными функциями.
Посмотреть ОригиналОтветить0
TokenVelocity
· 07-16 21:23
Скидывать вину — это круто!
Посмотреть ОригиналОтветить0
MemecoinResearcher
· 07-16 21:11
лmao классическая игра в обвинения... мои регрессионные модели предсказали это, если честно
Децентрализованные финансы Протокол遭Хакер攻击:纯技术视角难以应对金融风险
Недавний отчет о безопасности, в котором рассматривается инцидент с атакой Хакера на определенный Децентрализованные финансы Протокол, вызвал широкое обсуждение в отрасли. Этот отчет отличается высокой степенью прозрачности в технических деталях и экстренном реагировании, что делает его учебным пособием. Однако, отвечая на ключевой вопрос "почему произошла атака", отчет демонстрирует несколько уклончивый подход.
Доклад акцентирует внимание на проверке ошибок в определенной математической библиотечной функции, квалифицируя это как "семантическое недоразумение". Хотя такое описание технически не вызывает нареканий, оно искусно смещает акцент на внешнюю ответственность, как будто этот протокол является лишь одной из жертв этого технического дефекта.
Однако при тщательном анализе пути атаки хакера можно заметить, что для осуществления такой идеальной атаки необходимо одновременно выполнить четыре условия: ошибка в проверке переполнения, значительные операции смещения, правило округления вверх и отсутствие проверки экономической целесообразности. Удивительно, но в этом протоколе были допущены ошибки по каждому из "триггерных" условий, такие как принятие астрономических чисел в качестве пользовательского ввода, использование крайне опасных значительных операций смещения, полное доверие к механизмам проверки внешних библиотек, и, что наиболее фатально, когда система вычисляет абсурдное соотношение обмена, оно исполняется без какой-либо проверки экономической логики.
Данное событие выявило серьезные проблемы у команды протокола в следующих областях:
Недостаточная осведомленность о безопасности цепочки поставок: несмотря на использование открытых и широко применяемых библиотек, при управлении огромными активами не было должного понимания пределов безопасности этой библиотеки и возможных сценариев отказа.
Отсутствие специалистов по управлению финансовыми рисками: разрешение ввода неразумных астрономических сумм показывает, что команде не хватает экспертов по управлению рисками с финансовой интуицией.
Чрезмерная зависимость от аудита безопасности: даже после нескольких раундов аудита безопасности проблемы не были обнаружены, что выявляет ошибочное мнение проекта о том, что вся ответственность за безопасность полностью передана компании по безопасности.
Этот случай глубоко раскрывает системные недостатки безопасности в индустрии Децентрализованные финансы: команды с чисто техническим фоном часто лишены базового "финансового риск-ощущения".
Чтобы справиться с этой проблемой, командам DeFi проектов следует:
С развитием отрасли чистые технические ошибки могут постепенно уменьшаться, но "сознательные ошибки" в бизнес-логике станут более серьезной проблемой. Аудиторские компании могут гарантировать, что код без ошибок, но как обеспечить, чтобы "логика имела границы", требует от команды проекта более глубокого понимания и контроля над сутью бизнеса.
В будущем лидерами индустрии Децентрализованные финансы станут те команды, которые не только обладают мощными техническими возможностями, но и глубоко понимают бизнес-логику. Они смогут найти идеальный баланс между технологическими инновациями и управлением финансовыми рисками, предоставляя пользователям безопасные и эффективные услуги децентрализованных финансов.