Son zamanlarda, belirli bir Merkezi Olmayan Finans protokolünün bir Hacker saldırısına uğramasıyla ilgili bir güvenlik olayı inceleme raporu sektörde geniş bir tartışma başlattı. Bu rapor, teknik detaylar ve acil durum yanıtı açısından son derece yüksek bir şeffaflık sunarak, adeta bir ders kitabı seviyesinde. Ancak, "Neden hacklendi?" sorusuna yanıt verirken, raporun tutumu biraz üstü kapalı görünüyor.
Rapor, belirli bir matematik kütüphanesi fonksiyonunun hata kontrolünü "anlamsal yanlış anlama" olarak nitelendirerek açıkladı. Bu anlatım, teknik olarak eleştirilemez olsa da, dış sorumluluğa odaklanmayı ustaca kaydırıyor; sanki bu protokol de sadece bu teknik açığın bir kurbanıymış gibi.
Ancak, hackerın saldırı yolunu dikkatlice analiz ettiğinizde, bu kadar mükemmel bir saldırıyı gerçekleştirmenin dört koşulun aynı anda sağlanmasını gerektirdiği ortaya çıkıyor: hatalı taşma kontrolü, büyük ölçekli kaydırma işlemleri, yukarı yuvarlama kuralları ve ekonomik mantık doğrulamasının eksikliği. Şaşırtıcı bir şekilde, bu protokol her bir "tetikleme" koşulunda dikkatsizlik göstermiştir; örneğin, kullanıcı girişi olarak astronomik rakamları kabul etme, son derece tehlikeli büyük ölçekli kaydırma işlemleri yapma, dış kütüphanenin kontrol mekanizmasına tamamen güvenme ve en ölümcül olanı, sistem mantıksız bir değişim oranı hesapladığında, hiçbir ekonomik akıl kontrolü olmaksızın doğrudan uygulama yapması.
Bu olay, protokol ekibinin aşağıdaki birkaç alanda ciddi sorunlar yaşadığını ortaya koydu:
Tedarik zinciri güvenliği bilincinin yetersizliği: Açık kaynak ve yaygın olarak kullanılan kütüphaneler kullanılmış olsa da, büyük varlıkları yönetirken bu kütüphanenin güvenlik sınırlarını ve olası arıza durumlarını yeterince anlamamışlardır.
Finansal risk yönetimi uzmanı eksikliği: Mantıksız astronomik rakamların girmesine izin vermek, ekibin finansal sezgiye sahip risk yönetimi uzmanlarından yoksun olduğunu göstermektedir.
Güvenlik denetimlerine aşırı bağımlılık: Çoklu güvenlik denetimlerinden sonra hala sorun bulunmaması, proje sahiplerinin güvenlik sorumluluğunu tamamen güvenlik şirketlerine devretme yanılgısını ortaya koymaktadır.
Bu vaka, Merkezi Olmayan Finans endüstrisinin sistematik güvenlik açıklarını derinlemesine ortaya koyuyor: sadece teknik geçmişe sahip ekipler genellikle temel "finansal risk koklama" yeteneğinden yoksundur.
Bu zorlukla başa çıkmak için, Merkezi Olmayan Finans proje ekipleri şunları yapmalıdır:
Finans risk yönetimi uzmanlarını dahil edin, teknik ekibin bilgi boşluklarını kapatın.
Çok taraflı denetim inceleme mekanizması kurmak, yalnızca kod denetimine değil, aynı zamanda ekonomik model denetimine de önem vermek.
"Finans duyusunu" geliştirin, çeşitli saldırı senaryolarını simüle edin ve buna göre karşı önlemler belirleyin.
Anormal işlemlere karşı yüksek bir dikkat gösterin.
Sektörün sürekli gelişimiyle birlikte, saf teknik hataların azalması muhtemeldir, ancak iş mantığındaki "bilinç hatası" daha büyük bir zorluk haline gelecektir. Denetim firmaları yalnızca kodun hatasız olduğundan emin olabilir, ancak "mantığın sınırları"nı nasıl garanti edecekleri, proje ekibinin işin doğasını daha derinlemesine anlaması ve kontrol etme yeteneğine ihtiyaç duymaktadır.
Gelecekte, Merkezi Olmayan Finans sektörünün liderleri, yalnızca teknik yeterlilikleri yüksek olan değil, aynı zamanda iş mantığını derinlemesine anlayan takımlar olacaktır. Bu takımlar, teknik yenilik ile finansal risk yönetimi arasında mükemmel dengeyi bulabilmekte, kullanıcılara hem güvenli hem de verimli merkeziyetsiz finans hizmetleri sunabilmektedir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
14 Likes
Reward
14
7
Share
Comment
0/400
DaoResearcher
· 07-18 18:04
Platform, istatistiklere göre %93 hacker olayı esasen ekonomik risk kontrolünün başarısızlığıdır, teknik hata sadece tetikleyici noktadır, referans kaynak [2018, Chen]
View OriginalReply0
GateUser-74b10196
· 07-18 14:04
Bu tava çok iyi dönüyor.
View OriginalReply0
0xSunnyDay
· 07-16 21:28
Yine suçlamaları başkalarına mı atıyorsun? Yıldım artık.
View OriginalReply0
MagicBean
· 07-16 21:28
Yine kütüphane fonksiyonlarının sorunlu olduğunu bahane etti.
View OriginalReply0
TokenVelocity
· 07-16 21:23
Suç atmayı çok iyi yapıyorsun!
View OriginalReply0
MemecoinResearcher
· 07-16 21:11
lmao klasik suçlama oyunu... regresyon modellerim bunun geleceğini gördü aslında
Merkezi Olmayan Finans protokolü Hacker saldırısına uğradı: Saf teknik bakış açısıyla finansal risklere karşı koymak zor.
Son zamanlarda, belirli bir Merkezi Olmayan Finans protokolünün bir Hacker saldırısına uğramasıyla ilgili bir güvenlik olayı inceleme raporu sektörde geniş bir tartışma başlattı. Bu rapor, teknik detaylar ve acil durum yanıtı açısından son derece yüksek bir şeffaflık sunarak, adeta bir ders kitabı seviyesinde. Ancak, "Neden hacklendi?" sorusuna yanıt verirken, raporun tutumu biraz üstü kapalı görünüyor.
Rapor, belirli bir matematik kütüphanesi fonksiyonunun hata kontrolünü "anlamsal yanlış anlama" olarak nitelendirerek açıkladı. Bu anlatım, teknik olarak eleştirilemez olsa da, dış sorumluluğa odaklanmayı ustaca kaydırıyor; sanki bu protokol de sadece bu teknik açığın bir kurbanıymış gibi.
Ancak, hackerın saldırı yolunu dikkatlice analiz ettiğinizde, bu kadar mükemmel bir saldırıyı gerçekleştirmenin dört koşulun aynı anda sağlanmasını gerektirdiği ortaya çıkıyor: hatalı taşma kontrolü, büyük ölçekli kaydırma işlemleri, yukarı yuvarlama kuralları ve ekonomik mantık doğrulamasının eksikliği. Şaşırtıcı bir şekilde, bu protokol her bir "tetikleme" koşulunda dikkatsizlik göstermiştir; örneğin, kullanıcı girişi olarak astronomik rakamları kabul etme, son derece tehlikeli büyük ölçekli kaydırma işlemleri yapma, dış kütüphanenin kontrol mekanizmasına tamamen güvenme ve en ölümcül olanı, sistem mantıksız bir değişim oranı hesapladığında, hiçbir ekonomik akıl kontrolü olmaksızın doğrudan uygulama yapması.
Bu olay, protokol ekibinin aşağıdaki birkaç alanda ciddi sorunlar yaşadığını ortaya koydu:
Tedarik zinciri güvenliği bilincinin yetersizliği: Açık kaynak ve yaygın olarak kullanılan kütüphaneler kullanılmış olsa da, büyük varlıkları yönetirken bu kütüphanenin güvenlik sınırlarını ve olası arıza durumlarını yeterince anlamamışlardır.
Finansal risk yönetimi uzmanı eksikliği: Mantıksız astronomik rakamların girmesine izin vermek, ekibin finansal sezgiye sahip risk yönetimi uzmanlarından yoksun olduğunu göstermektedir.
Güvenlik denetimlerine aşırı bağımlılık: Çoklu güvenlik denetimlerinden sonra hala sorun bulunmaması, proje sahiplerinin güvenlik sorumluluğunu tamamen güvenlik şirketlerine devretme yanılgısını ortaya koymaktadır.
Bu vaka, Merkezi Olmayan Finans endüstrisinin sistematik güvenlik açıklarını derinlemesine ortaya koyuyor: sadece teknik geçmişe sahip ekipler genellikle temel "finansal risk koklama" yeteneğinden yoksundur.
Bu zorlukla başa çıkmak için, Merkezi Olmayan Finans proje ekipleri şunları yapmalıdır:
Sektörün sürekli gelişimiyle birlikte, saf teknik hataların azalması muhtemeldir, ancak iş mantığındaki "bilinç hatası" daha büyük bir zorluk haline gelecektir. Denetim firmaları yalnızca kodun hatasız olduğundan emin olabilir, ancak "mantığın sınırları"nı nasıl garanti edecekleri, proje ekibinin işin doğasını daha derinlemesine anlaması ve kontrol etme yeteneğine ihtiyaç duymaktadır.
Gelecekte, Merkezi Olmayan Finans sektörünün liderleri, yalnızca teknik yeterlilikleri yüksek olan değil, aynı zamanda iş mantığını derinlemesine anlayan takımlar olacaktır. Bu takımlar, teknik yenilik ile finansal risk yönetimi arasında mükemmel dengeyi bulabilmekte, kullanıcılara hem güvenli hem de verimli merkeziyetsiz finans hizmetleri sunabilmektedir.