Cetus protokolü saldırıya uğradı olayının Derinlik değerlendirmesi

Bir protokol yakın zamanda bir hacker saldırısına uğradıktan sonra bir güvenlik "değerlendirme" raporu yayımladı. Rapor, teknik detaylar ve acil müdahale konularında mükemmel bir performans sergilemesine rağmen, saldırının temel nedenini açıklamada kaçamak yaptı.

Rapor, integer-mate kütüphanesindeki checked_shlw fonksiyonunun kontrol hatalarını "anlamsal yanlış anlama" olarak nitelendirerek ana hatlarıyla tartışmaktadır. Bu anlatım teknik olarak sorun teşkil etmemekle birlikte, sanki protokol kendisi de bu teknik hatanın bir mağduruymuş gibi dışsal faktörlere odaklanmayı amaçlıyormuş gibi görünmektedir.

Ancak, hacker saldırı yollarını dikkatlice analiz ettiğinizde, başarılı bir saldırının dört koşulu aynı anda sağlaması gerektiğini göreceksiniz: hatalı taşma kontrolü, büyük kaydırma işlemleri, yukarı yuvarlama kuralları ve ekonomik makullük doğrulaması eksikliği. Protokol her bir "tetikleyici" koşulunda önemli bir ihmal göstermiştir.

protokol gerçekten düşünülmesi gereken sorunlar şunlardır:

1. Neden genel dış kütüphaneler kullanıldığında yeterli güvenlik testleri yapılmamıştır? Bu kütüphane açık kaynak olmasına ve yaygın olarak kullanılmasına rağmen, büyük varlıkları yönetirken, protokol ekibi kütüphanenin güvenlik sınırları ve potansiyel riskleri hakkında daha derin bir anlayışa sahip olmalıdır.

2. Neden mantıksız astronomik rakamların girilmesine izin veriliyor ve makul sınırlar belirlenmiyor? Dağıtık sistem hedefi olsa da, olgun finansal sistemler daha net sınırlara ihtiyaç duyar. Bu, ekibin finansal sezgiye sahip risk yönetimi uzmanlarından yoksun olabileceğini yansıtıyor.

3. Neden çoklu güvenlik denetimlerine rağmen hala bir sorun bulunamadı? Bu, güvenlik denetimlerine aşırı bağımlılık gösteren ve proje tarafının kendi sorumluluğunu ihmal eden yaygın bir algı yanılgısını açığa çıkarıyor. Modern DeFi güvenliği, matematik, kriptografi ve ekonomi alanlarının kesişim alanlarını içerir ki bu, mevcut güvenlik denetimlerinin kör noktasıdır.

Bu olay, DeFi sektöründeki sistemik güvenlik açıklarını vurguladı: tamamen teknik bir geçmişe sahip ekipler genellikle temel "finansal risk kokusu" eksikliğine sahiptir.

Buna göre, DeFi ekibi şunları yapmalıdır:

• Finansal risk yönetimi uzmanlarını dahil et, teknik ekibin bilgi boşluğunu doldur.
• Çok taraflı denetim ve gözden geçirme mekanizması oluşturun, kod denetimi ve ekonomik model denetimini içeren
• "Finans kokusu" geliştirmek, çeşitli saldırı senaryolarını simüle etmek ve karşı önlemler almak
• Anormal işlemlere karşı yüksek dikkat gösterin

Sektörün gelişimiyle birlikte, yalnızca teknik düzeydeki hatalar giderek azalacak, ancak sınırları belirsiz ve sorumlulukları muğlak iş mantığı "bilinç hatası" en büyük zorluk haline gelecektir. Güvenlik denetim şirketleri yalnızca kodun hatasız olmasını sağlayabilir, ancak "mantığın sınırları olması" için proje ekibinin işin doğası hakkında daha derin bir anlayışa ve kontrol yeteneğine sahip olması gerekmektedir.

DeFi'nin geleceği, sadece teknik olarak yeterli olmayan, aynı zamanda iş mantığını derinlemesine anlayan ekiplerin olacaktır. Gerçekten "finans mühendisleri" yetiştirmek için güvenlik risk bilincine sahip olmak, bu hızlı gelişen alanda sağlam bir yer edinmenin tek yoludur.