Gần đây, một báo cáo hồi cứu sự kiện an ninh về một giao thức DeFi bị tấn công bởi hacker đã gây ra sự thảo luận rộng rãi trong ngành. Báo cáo này có độ minh bạch cực cao về chi tiết kỹ thuật và phản ứng khẩn cấp, được coi là cấp sách giáo khoa. Tuy nhiên, khi trả lời câu hỏi cốt lõi "tại sao lại bị hack", thái độ của báo cáo có vẻ hơi lảng tránh.
Báo cáo nhấn mạnh giải thích về lỗi kiểm tra của một hàm thư viện toán học, coi đó là "sự hiểu nhầm về ngữ nghĩa". Mặc dù mô tả này về mặt kỹ thuật không có gì sai, nhưng lại khéo léo chuyển hướng sự chú ý sang trách nhiệm bên ngoài, dường như giao thức này cũng chỉ là một trong những nạn nhân của khiếm khuyết kỹ thuật này.
Tuy nhiên, khi phân tích kỹ lưỡng đường đi tấn công của hacker, người ta sẽ nhận ra rằng để thực hiện một cuộc tấn công hoàn hảo như vậy, cần phải đáp ứng bốn điều kiện: kiểm tra tràn sai, phép toán dịch lớn, quy tắc làm tròn lên và thiếu xác minh tính hợp lý kinh tế. Thật bất ngờ, giao thức này đã bỏ sót ở mỗi "điều kiện kích hoạt", chẳng hạn như chấp nhận những con số khổng lồ làm đầu vào của người dùng, sử dụng phép toán dịch lớn cực kỳ nguy hiểm, hoàn toàn tin tưởng vào cơ chế kiểm tra của thư viện bên ngoài, và nghiêm trọng nhất là khi hệ thống tính toán ra tỷ lệ trao đổi vô lý, lại không có bất kỳ kiểm tra kiến thức kinh tế nào mà trực tiếp thực hiện.
Sự kiện này đã làm lộ ra rằng đội ngũ giao thức này gặp vấn đề nghiêm trọng ở một số khía cạnh sau:
Nhận thức về an ninh chuỗi cung ứng chưa đầy đủ: Mặc dù đã sử dụng các thư viện mã nguồn mở và được ứng dụng rộng rãi, nhưng trong việc quản lý khối tài sản khổng lồ, không thể hiểu đầy đủ ranh giới an ninh của thư viện đó và các trường hợp có thể xảy ra sự cố.
Thiếu nhân tài quản lý rủi ro tài chính: Cho phép nhập những con số khổng lồ không hợp lý, cho thấy đội ngũ thiếu các chuyên gia quản lý rủi ro có trực giác tài chính.
Sự phụ thuộc quá mức vào kiểm toán an ninh: Sau nhiều vòng kiểm toán an ninh vẫn không phát hiện vấn đề, cho thấy sai lầm của dự án khi hoàn toàn giao trách nhiệm an ninh cho công ty an ninh.
Trường hợp này đã sâu sắc tiết lộ những thiếu sót về an ninh hệ thống trong ngành Tài chính phi tập trung: các đội ngũ có nền tảng công nghệ thuần túy thường thiếu "khả năng nhạy bén với rủi ro tài chính" cơ bản.
Để đối phó với thử thách này, đội ngũ dự án DeFi nên:
Mời các chuyên gia quản lý rủi ro tài chính để bù đắp cho những khoảng trống kiến thức của đội ngũ kỹ thuật.
Xây dựng cơ chế kiểm tra và đánh giá đa bên, không chỉ chú ý đến kiểm tra mã mà còn phải coi trọng kiểm tra mô hình kinh tế.
Nuôi dưỡng "khứu giác tài chính", mô phỏng các tình huống tấn công khác nhau và xây dựng các biện pháp ứng phó tương ứng.
Giữ cảnh giác cao đối với các hoạt động bất thường.
Với sự phát triển không ngừng của ngành, lỗi kỹ thuật thuần túy có thể sẽ giảm dần, nhưng "lỗi nhận thức" trong logic kinh doanh sẽ trở thành thách thức lớn hơn. Các công ty kiểm toán chỉ có thể đảm bảo rằng mã không có lỗi, trong khi việc đảm bảo rằng "logic có giới hạn" cần đội ngũ dự án có sự hiểu biết và khả năng kiểm soát sâu sắc hơn về bản chất kinh doanh.
Trong tương lai, những người dẫn đầu trong ngành DeFi chắc chắn sẽ là những đội ngũ không chỉ có năng lực kỹ thuật vượt trội mà còn hiểu sâu sắc về logic kinh doanh. Họ có khả năng tìm ra sự cân bằng hoàn hảo giữa đổi mới công nghệ và quản lý rủi ro tài chính, cung cấp cho người dùng dịch vụ tài chính phi tập trung vừa an toàn vừa hiệu quả.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
14 thích
Phần thưởng
14
7
Chia sẻ
Bình luận
0/400
DaoResearcher
· 07-18 18:04
Theo thống kê của nền tảng, 93% các sự kiện hacker về cơ bản là do sự thất bại trong kiểm soát rủi ro kinh tế, lỗi kỹ thuật chỉ là điểm khởi phát, tham khảo tài liệu [2018,Chen]
Xem bản gốcTrả lời0
GateUser-74b10196
· 07-18 14:04
Cái chảo này lắc rất mượt mà.
Xem bản gốcTrả lời0
0xSunnyDay
· 07-16 21:28
Lại đang đổ lỗi à? Thấy mệt quá
Xem bản gốcTrả lời0
MagicBean
· 07-16 21:28
Lại đổ lỗi nói rằng hàm thư viện có vấn đề
Xem bản gốcTrả lời0
TokenVelocity
· 07-16 21:23
Trách móc chơi rất giỏi!
Xem bản gốcTrả lời0
MemecoinResearcher
· 07-16 21:11
lmao trò chơi đổ lỗi kinh điển... mô hình hồi quy của tôi đã thấy điều này đến thật lòng mà nói
Tài chính phi tập trung giao thức遭Hacker攻击:纯技术视角难以应对金融风险
Gần đây, một báo cáo hồi cứu sự kiện an ninh về một giao thức DeFi bị tấn công bởi hacker đã gây ra sự thảo luận rộng rãi trong ngành. Báo cáo này có độ minh bạch cực cao về chi tiết kỹ thuật và phản ứng khẩn cấp, được coi là cấp sách giáo khoa. Tuy nhiên, khi trả lời câu hỏi cốt lõi "tại sao lại bị hack", thái độ của báo cáo có vẻ hơi lảng tránh.
Báo cáo nhấn mạnh giải thích về lỗi kiểm tra của một hàm thư viện toán học, coi đó là "sự hiểu nhầm về ngữ nghĩa". Mặc dù mô tả này về mặt kỹ thuật không có gì sai, nhưng lại khéo léo chuyển hướng sự chú ý sang trách nhiệm bên ngoài, dường như giao thức này cũng chỉ là một trong những nạn nhân của khiếm khuyết kỹ thuật này.
Tuy nhiên, khi phân tích kỹ lưỡng đường đi tấn công của hacker, người ta sẽ nhận ra rằng để thực hiện một cuộc tấn công hoàn hảo như vậy, cần phải đáp ứng bốn điều kiện: kiểm tra tràn sai, phép toán dịch lớn, quy tắc làm tròn lên và thiếu xác minh tính hợp lý kinh tế. Thật bất ngờ, giao thức này đã bỏ sót ở mỗi "điều kiện kích hoạt", chẳng hạn như chấp nhận những con số khổng lồ làm đầu vào của người dùng, sử dụng phép toán dịch lớn cực kỳ nguy hiểm, hoàn toàn tin tưởng vào cơ chế kiểm tra của thư viện bên ngoài, và nghiêm trọng nhất là khi hệ thống tính toán ra tỷ lệ trao đổi vô lý, lại không có bất kỳ kiểm tra kiến thức kinh tế nào mà trực tiếp thực hiện.
Sự kiện này đã làm lộ ra rằng đội ngũ giao thức này gặp vấn đề nghiêm trọng ở một số khía cạnh sau:
Nhận thức về an ninh chuỗi cung ứng chưa đầy đủ: Mặc dù đã sử dụng các thư viện mã nguồn mở và được ứng dụng rộng rãi, nhưng trong việc quản lý khối tài sản khổng lồ, không thể hiểu đầy đủ ranh giới an ninh của thư viện đó và các trường hợp có thể xảy ra sự cố.
Thiếu nhân tài quản lý rủi ro tài chính: Cho phép nhập những con số khổng lồ không hợp lý, cho thấy đội ngũ thiếu các chuyên gia quản lý rủi ro có trực giác tài chính.
Sự phụ thuộc quá mức vào kiểm toán an ninh: Sau nhiều vòng kiểm toán an ninh vẫn không phát hiện vấn đề, cho thấy sai lầm của dự án khi hoàn toàn giao trách nhiệm an ninh cho công ty an ninh.
Trường hợp này đã sâu sắc tiết lộ những thiếu sót về an ninh hệ thống trong ngành Tài chính phi tập trung: các đội ngũ có nền tảng công nghệ thuần túy thường thiếu "khả năng nhạy bén với rủi ro tài chính" cơ bản.
Để đối phó với thử thách này, đội ngũ dự án DeFi nên:
Với sự phát triển không ngừng của ngành, lỗi kỹ thuật thuần túy có thể sẽ giảm dần, nhưng "lỗi nhận thức" trong logic kinh doanh sẽ trở thành thách thức lớn hơn. Các công ty kiểm toán chỉ có thể đảm bảo rằng mã không có lỗi, trong khi việc đảm bảo rằng "logic có giới hạn" cần đội ngũ dự án có sự hiểu biết và khả năng kiểm soát sâu sắc hơn về bản chất kinh doanh.
Trong tương lai, những người dẫn đầu trong ngành DeFi chắc chắn sẽ là những đội ngũ không chỉ có năng lực kỹ thuật vượt trội mà còn hiểu sâu sắc về logic kinh doanh. Họ có khả năng tìm ra sự cân bằng hoàn hảo giữa đổi mới công nghệ và quản lý rủi ro tài chính, cung cấp cho người dùng dịch vụ tài chính phi tập trung vừa an toàn vừa hiệu quả.