Останнім часом один звіт про безпекову подію, пов'язану з атакою хакера на певний протокол Децентралізовані фінанси, викликав широке обговорення в індустрії. Цей звіт відзначається надзвичайною прозорістю у технічних деталях та реагуванні на надзвичайні ситуації, його можна назвати підручниковим. Проте, відповідаючи на основне питання "Чому відбулася атака?", звіт виглядає дещо ухильно.
Звіт акцентує увагу на перевірці помилок певної математичної бібліотеки, кваліфікуючи їх як "сема́нтичне непорозуміння". Хоча таке формулювання технічно не підлягає критиці, воно майстерно зміщує акцент на зовнішню відповідальність, ніби цей протокол також є лише одним з жертв цього технічного дефекту.
Однак, ретельний аналіз шляху атаки Хакера показує, що для досягнення такої досконалої атаки потрібно одночасно виконати чотири умови: помилкова перевірка переповнення, значні зсуви, правила округлення вгору та відсутність перевірки економічної доцільності. Дивно, але в цьому протоколі були допущені помилки в кожному з "триггерних" умов, наприклад, прийняття астрономічних чисел як введення користувача, використання надзвичайно небезпечних значних зсувів, повна довіра до механізму перевірки зовнішніх бібліотек; найсмертельніше те, що коли система обчислила абсурдний обмінний курс, не було жодної перевірки економічної доцільності, і це було виконано безпосередньо.
Ця подія виявила серйозні проблеми команди протоколу в кількох аспектах:
Недостатня свідомість щодо безпеки постачальницького ланцюга: хоча використовуються відкриті та широко застосовувані бібліотеки, при управлінні величезними активами не вдалося повністю зрозуміти безпекові межі цієї бібліотеки та можливі випадки її збою.
Відсутність фахівців у галузі управління фінансовими ризиками: допускається введення нерозумних астрономічних цифр, що свідчить про відсутність у команди експертів з управління ризиками, які мають фінансову інтуїцію.
Надмірна залежність від безпекового аудиту: після кількох раундів безпекового аудиту проблеми так і не було виявлено, що виявляє помилку проекту щодо повної делегування відповідальності за безпеку компаніям з безпеки.
Цей випадок глибоко виявляє системні недоліки безпеки в індустрії Децентралізовані фінанси: команди з чисто технічним фоном часто не мають базового "фінансового ризикового чуття".
Щоб впоратися з цим викликом, команди проектів Децентралізовані фінанси повинні:
Залучити експертів у фінансовому ризик-менеджменті для заповнення знань, які відсутні в технічній команді.
Створення механізму багатостороннього аудиту, який не лише зосереджується на аудиту коду, але й приділяє увагу аудиту економічних моделей.
Розвивати "фінансовий нюх", моделювати різні сценарії атак та розробляти відповідні заходи реагування.
Залишайтеся надзвичайно обережними щодо аномальних дій.
З розвитком галузі чисті технічні помилки можуть поступово зменшуватися, але "свідомі помилки" в бізнес-логіці стануть більшим викликом. Аудиторські компанії можуть лише забезпечити правильність коду, а як забезпечити, щоб "логіка мала межі", потребує від команди проекту глибшого розуміння та контролю над сутністю бізнесу.
У майбутньому лідерами галузі Децентралізовані фінанси стануть ті команди, які не лише мають потужні технологічні можливості, але й глибоко розуміють бізнес-логіку. Вони зможуть знайти ідеальний баланс між технологічними інноваціями та управлінням фінансовими ризиками, щоб надавати користувачам безпечні та ефективні послуги децентралізованих фінансів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
14 лайків
Нагородити
14
7
Поділіться
Прокоментувати
0/400
DaoResearcher
· 07-18 18:04
Згідно з статистикою платформи, 93% хакерських інцидентів по суті є наслідком невдачі в економічному ризик-менеджменті, технічні помилки лише є тригерами, див. посилання на літературу [2018, Chen]
Переглянути оригіналвідповісти на0
GateUser-74b10196
· 07-18 14:04
Ця сковорода дуже класно крутиться!
Переглянути оригіналвідповісти на0
0xSunnyDay
· 07-16 21:28
Знову скидаєш провину? Вже набридло.
Переглянути оригіналвідповісти на0
MagicBean
· 07-16 21:28
Знову перекладають провину на бібліотеку функцій.
Переглянути оригіналвідповісти на0
TokenVelocity
· 07-16 21:23
Звинувачувати інших виходить чудово!
Переглянути оригіналвідповісти на0
MemecoinResearcher
· 07-16 21:11
лmao класичний гра провини... мої регресійні моделі це передбачили, якщо чесно
Децентралізовані фінанси протокол遭Хакер атаки:чистий технічний аспект важко впоратися з фінансовими ризиками
Останнім часом один звіт про безпекову подію, пов'язану з атакою хакера на певний протокол Децентралізовані фінанси, викликав широке обговорення в індустрії. Цей звіт відзначається надзвичайною прозорістю у технічних деталях та реагуванні на надзвичайні ситуації, його можна назвати підручниковим. Проте, відповідаючи на основне питання "Чому відбулася атака?", звіт виглядає дещо ухильно.
Звіт акцентує увагу на перевірці помилок певної математичної бібліотеки, кваліфікуючи їх як "сема́нтичне непорозуміння". Хоча таке формулювання технічно не підлягає критиці, воно майстерно зміщує акцент на зовнішню відповідальність, ніби цей протокол також є лише одним з жертв цього технічного дефекту.
Однак, ретельний аналіз шляху атаки Хакера показує, що для досягнення такої досконалої атаки потрібно одночасно виконати чотири умови: помилкова перевірка переповнення, значні зсуви, правила округлення вгору та відсутність перевірки економічної доцільності. Дивно, але в цьому протоколі були допущені помилки в кожному з "триггерних" умов, наприклад, прийняття астрономічних чисел як введення користувача, використання надзвичайно небезпечних значних зсувів, повна довіра до механізму перевірки зовнішніх бібліотек; найсмертельніше те, що коли система обчислила абсурдний обмінний курс, не було жодної перевірки економічної доцільності, і це було виконано безпосередньо.
Ця подія виявила серйозні проблеми команди протоколу в кількох аспектах:
Недостатня свідомість щодо безпеки постачальницького ланцюга: хоча використовуються відкриті та широко застосовувані бібліотеки, при управлінні величезними активами не вдалося повністю зрозуміти безпекові межі цієї бібліотеки та можливі випадки її збою.
Відсутність фахівців у галузі управління фінансовими ризиками: допускається введення нерозумних астрономічних цифр, що свідчить про відсутність у команди експертів з управління ризиками, які мають фінансову інтуїцію.
Надмірна залежність від безпекового аудиту: після кількох раундів безпекового аудиту проблеми так і не було виявлено, що виявляє помилку проекту щодо повної делегування відповідальності за безпеку компаніям з безпеки.
Цей випадок глибоко виявляє системні недоліки безпеки в індустрії Децентралізовані фінанси: команди з чисто технічним фоном часто не мають базового "фінансового ризикового чуття".
Щоб впоратися з цим викликом, команди проектів Децентралізовані фінанси повинні:
З розвитком галузі чисті технічні помилки можуть поступово зменшуватися, але "свідомі помилки" в бізнес-логіці стануть більшим викликом. Аудиторські компанії можуть лише забезпечити правильність коду, а як забезпечити, щоб "логіка мала межі", потребує від команди проекту глибшого розуміння та контролю над сутністю бізнесу.
У майбутньому лідерами галузі Децентралізовані фінанси стануть ті команди, які не лише мають потужні технологічні можливості, але й глибоко розуміють бізнес-логіку. Вони зможуть знайти ідеальний баланс між технологічними інноваціями та управлінням фінансовими ризиками, щоб надавати користувачам безпечні та ефективні послуги децентралізованих фінансів.