Cetus Protocol yakın zamanda bir hacker saldırısı olayıyla ilgili bir güvenlik inceleme raporu yayımladı. Bu rapordaki teknik detaylar ve acil durum yanıtına dair açıklamalar oldukça şeffaf ve adeta bir ders kitabı seviyesinde. Ancak, "neden hacklendik" sorusunu açıklarken, raporun tavrı biraz kaçamak yapar gibi görünüyor.
Rapor, integer-mate kütüphanesindeki checked_shlw fonksiyonunun kontrol hatalarını "anlamsal yanlış anlama" olarak nitelendirerek vurgulamaktadır. Bu anlatım teknik olarak doğru olsa da, sanki dışsal sorumluluklara odaklanıyormuş gibi görünüyor, sanki Cetus bu teknik açığın bir mağduruymuş gibi.
Ancak, düşünmeye değer ki, integer-mate yaygın olarak kullanılan bir açık kaynak matematik kütüphanesi olduğuna göre, neden özellikle Cetus'ta bu kadar ciddi bir güvenlik açığı ortaya çıkıyor? Saldırı yollarını analiz ettiğimizde, Hacker'ın mükemmel bir saldırı gerçekleştirmek için dört koşulu aynı anda sağlaması gerektiği görülüyor: Hatalı taşma kontrolü, büyük kaydırma işlemleri, yukarı yuvarlama kuralları ve ekonomik makuliyet doğrulaması eksikliği.
Şaşırtıcı bir şekilde, Cetus her bir "tetikleme" koşulunda dikkatsizlik gösterdi. Örneğin, sistem kullanıcı tarafından girilen astronomik sayıları kabul etti, son derece tehlikeli büyük kaydırma hesaplamalarını kullandı ve dış kütüphanelerin kontrol mekanizmasına tamamen güvendi. En ölümcül olanı, sistem "1 token ile astronomik bir pay" gibi absürt bir sonuç hesapladığında, hiçbir ekonomik mantık kontrolü olmaksızın doğrudan uygulamaya geçmesi oldu.
Bu nedenle, Cetus'un gerçekten düşünmesi gereken sorular şunlardır:
Neden genel dış kütüphaneler kullanılıyor ama güvenlik testleri iyi yapılmıyor? integer-mate kütüphanesi açık kaynak, popüler ve yaygın olarak kullanılan özelliklere sahip olmasına rağmen, Cetus bu kadar büyük bir varlığı yönetirken bu kütüphanenin güvenlik sınırlarını yeterince anlamamış gibi görünüyor ve kütüphanenin başarısız olması durumunda bir yedek plan düşünmemiş. Bu, Cetus'un tedarik zinciri güvenliği bilincinin yetersiz olduğunu gösteriyor.
Neden astronomik sayılara girişe izin veriliyor ve sınır yok? DeFi protokolleri merkeziyetsizliği hedeflese de, olgun finansal sistemler açık olmasına rağmen net sınırların da belirlenmesi gerekiyor. Bu kadar abartılı sayılara girişe izin verilmesi, ekibin finansal sezgiye sahip risk yönetimi uzmanlarından yoksun olabileceğini gösteriyor.
Neden birden fazla güvenlik denetiminden geçmesine rağmen sorunlar önceden tespit edilemedi? Bu, bir ölümcül kavramsal yanılgıyı ortaya koyuyor: Proje ekipleri güvenlik sorumluluğunu tamamen güvenlik şirketlerine devrediyor ve denetimi bir muafiyet belgesi olarak görüyor. Ancak, güvenlik denetim mühendisleri kod hatalarını bulmada uzmandır, ancak sistemin aşırı durumlarda nasıl performans gösterdiğini test etmeyi düşünmeyebilirler.
Bu matematik, kriptografi ve ekonomi sınırlarını aşan doğrulama, modern DeFi güvenliğinin en büyük kör noktasıdır. Denetim şirketleri bunu bir ekonomik model tasarım hatası olarak düşünebilirken, proje sahipleri denetimin sorunu tespit etmediğinden şikayet edebilir ve sonuçta kullanıcılar kaybı üstlenir.
Bu olay, DeFi sektöründeki sistematik güvenlik açıklarını ortaya koydu: yalnızca teknik bir geçmişe sahip ekipler genellikle temel "finansal risk sezgisi" eksikliğinden muzdarip. Cetus'un raporuna göre, ekip bunun yeterince farkında görünmüyor.
Cetus ve tüm DeFi sektörü için önemli olan, yalnızca teknik düşüncenin sınırlamalarından çıkmak ve gerçek bir "finans mühendisliği" güvenlik risk bilincini geliştirmektir. Teknik ekibin bilgi boşluğunu kapatmak için finansal risk kontrol uzmanlarının dahil edilmesi düşünülebilir; sadece kod denetimine değil, ekonomik model denetimine de önem veren çok yönlü bir denetim mekanizması oluşturulmalıdır; "finans kokusu" geliştirilmeli, çeşitli saldırı senaryoları simüle edilmeli ve buna uygun önlemler belirlenmeli, anormal işlemlere karşı yüksek bir dikkat gösterilmelidir.
Sektörün gelişmesiyle birlikte, kod seviyesindeki teknik hataların azalması muhtemel, ancak sınırların belirsiz olduğu, sorumlulukların bulanık olduğu iş mantığı "bilinç hatası" en büyük zorluk haline gelecektir. Denetim şirketleri kodun hatasız olmasını sağlayabilir, ancak "mantığın sınırları olması" için proje ekibinin işin doğası hakkında daha derin bir anlayışa ve sınır kontrol yeteneğine sahip olması gerekmektedir.
DeFi'nin geleceği sadece kod teknolojisi sağlam olan, aynı zamanda iş mantığını derinlemesine anlayan ekiplerin olacak. Bu iki yeteneğe de sahip olan ekipler, bu zorlu sektörde gerçekten yer edinebilir ve başarı elde edebilir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
20 Likes
Reward
20
6
Share
Comment
0/400
GasWhisperer
· 07-17 18:44
mempool desenleri asla yalan söylemez... integer-mate sadece Gate'ydi, esas zafiyet değil aslında
View OriginalReply0
DataOnlooker
· 07-17 15:56
Bu Cetus, suçu başkalarına atma ustası.
View OriginalReply0
ImpermanentLossEnjoyer
· 07-15 05:30
Zarar geri alınabilir, Şang Hao.
View OriginalReply0
DegenApeSurfer
· 07-15 05:30
Kim yaşıyorsa o da suçu üstlenir.
View OriginalReply0
SatoshiLegend
· 07-15 05:30
Neden DeFi projelerinde bu tür tam sayı taşma hataları sıkça görülüyor? Temele inmeden önce pow algoritmasını anlamak gerekiyor.
View OriginalReply0
GasOptimizer
· 07-15 05:28
Suçlama iyi yorum, gerçekten kontrol etmemek hatası.
Cetus Hacker olayı üzerine düşünceler: Merkezi Olmayan Finans güvenliği sadece teknik düşünce ile aşılmamalıdır
Cetus Protocol yakın zamanda bir hacker saldırısı olayıyla ilgili bir güvenlik inceleme raporu yayımladı. Bu rapordaki teknik detaylar ve acil durum yanıtına dair açıklamalar oldukça şeffaf ve adeta bir ders kitabı seviyesinde. Ancak, "neden hacklendik" sorusunu açıklarken, raporun tavrı biraz kaçamak yapar gibi görünüyor.
Rapor, integer-mate kütüphanesindeki checked_shlw fonksiyonunun kontrol hatalarını "anlamsal yanlış anlama" olarak nitelendirerek vurgulamaktadır. Bu anlatım teknik olarak doğru olsa da, sanki dışsal sorumluluklara odaklanıyormuş gibi görünüyor, sanki Cetus bu teknik açığın bir mağduruymuş gibi.
Ancak, düşünmeye değer ki, integer-mate yaygın olarak kullanılan bir açık kaynak matematik kütüphanesi olduğuna göre, neden özellikle Cetus'ta bu kadar ciddi bir güvenlik açığı ortaya çıkıyor? Saldırı yollarını analiz ettiğimizde, Hacker'ın mükemmel bir saldırı gerçekleştirmek için dört koşulu aynı anda sağlaması gerektiği görülüyor: Hatalı taşma kontrolü, büyük kaydırma işlemleri, yukarı yuvarlama kuralları ve ekonomik makuliyet doğrulaması eksikliği.
Şaşırtıcı bir şekilde, Cetus her bir "tetikleme" koşulunda dikkatsizlik gösterdi. Örneğin, sistem kullanıcı tarafından girilen astronomik sayıları kabul etti, son derece tehlikeli büyük kaydırma hesaplamalarını kullandı ve dış kütüphanelerin kontrol mekanizmasına tamamen güvendi. En ölümcül olanı, sistem "1 token ile astronomik bir pay" gibi absürt bir sonuç hesapladığında, hiçbir ekonomik mantık kontrolü olmaksızın doğrudan uygulamaya geçmesi oldu.
Bu nedenle, Cetus'un gerçekten düşünmesi gereken sorular şunlardır:
Neden genel dış kütüphaneler kullanılıyor ama güvenlik testleri iyi yapılmıyor? integer-mate kütüphanesi açık kaynak, popüler ve yaygın olarak kullanılan özelliklere sahip olmasına rağmen, Cetus bu kadar büyük bir varlığı yönetirken bu kütüphanenin güvenlik sınırlarını yeterince anlamamış gibi görünüyor ve kütüphanenin başarısız olması durumunda bir yedek plan düşünmemiş. Bu, Cetus'un tedarik zinciri güvenliği bilincinin yetersiz olduğunu gösteriyor.
Neden astronomik sayılara girişe izin veriliyor ve sınır yok? DeFi protokolleri merkeziyetsizliği hedeflese de, olgun finansal sistemler açık olmasına rağmen net sınırların da belirlenmesi gerekiyor. Bu kadar abartılı sayılara girişe izin verilmesi, ekibin finansal sezgiye sahip risk yönetimi uzmanlarından yoksun olabileceğini gösteriyor.
Neden birden fazla güvenlik denetiminden geçmesine rağmen sorunlar önceden tespit edilemedi? Bu, bir ölümcül kavramsal yanılgıyı ortaya koyuyor: Proje ekipleri güvenlik sorumluluğunu tamamen güvenlik şirketlerine devrediyor ve denetimi bir muafiyet belgesi olarak görüyor. Ancak, güvenlik denetim mühendisleri kod hatalarını bulmada uzmandır, ancak sistemin aşırı durumlarda nasıl performans gösterdiğini test etmeyi düşünmeyebilirler.
Bu matematik, kriptografi ve ekonomi sınırlarını aşan doğrulama, modern DeFi güvenliğinin en büyük kör noktasıdır. Denetim şirketleri bunu bir ekonomik model tasarım hatası olarak düşünebilirken, proje sahipleri denetimin sorunu tespit etmediğinden şikayet edebilir ve sonuçta kullanıcılar kaybı üstlenir.
Bu olay, DeFi sektöründeki sistematik güvenlik açıklarını ortaya koydu: yalnızca teknik bir geçmişe sahip ekipler genellikle temel "finansal risk sezgisi" eksikliğinden muzdarip. Cetus'un raporuna göre, ekip bunun yeterince farkında görünmüyor.
Cetus ve tüm DeFi sektörü için önemli olan, yalnızca teknik düşüncenin sınırlamalarından çıkmak ve gerçek bir "finans mühendisliği" güvenlik risk bilincini geliştirmektir. Teknik ekibin bilgi boşluğunu kapatmak için finansal risk kontrol uzmanlarının dahil edilmesi düşünülebilir; sadece kod denetimine değil, ekonomik model denetimine de önem veren çok yönlü bir denetim mekanizması oluşturulmalıdır; "finans kokusu" geliştirilmeli, çeşitli saldırı senaryoları simüle edilmeli ve buna uygun önlemler belirlenmeli, anormal işlemlere karşı yüksek bir dikkat gösterilmelidir.
Sektörün gelişmesiyle birlikte, kod seviyesindeki teknik hataların azalması muhtemel, ancak sınırların belirsiz olduğu, sorumlulukların bulanık olduğu iş mantığı "bilinç hatası" en büyük zorluk haline gelecektir. Denetim şirketleri kodun hatasız olmasını sağlayabilir, ancak "mantığın sınırları olması" için proje ekibinin işin doğası hakkında daha derin bir anlayışa ve sınır kontrol yeteneğine sahip olması gerekmektedir.
DeFi'nin geleceği sadece kod teknolojisi sağlam olan, aynı zamanda iş mantığını derinlemesine anlayan ekiplerin olacak. Bu iki yeteneğe de sahip olan ekipler, bu zorlu sektörde gerçekten yer edinebilir ve başarı elde edebilir.