Revisión del incidente del hacker de Cetus: las vulnerabilidades de seguridad exponen las deficiencias sistémicas de los proyectos de Finanzas descentralizadas.

El protocolo Cetus recientemente publicó un informe de revisión de seguridad sobre un ataque de Hacker, lo que ha generado un amplio interés en la industria. El informe revela en detalle los aspectos técnicos y el proceso de respuesta de emergencia, siendo un nivel de enseñanza. Sin embargo, al explicar la raíz del ataque, el informe parece evitar los puntos clave.

El informe se centra principalmente en los errores de verificación de la función checked_shlw en la biblioteca integer-mate, calificándolos como "malentendidos semánticos". Aunque esta descripción es técnicamente correcta, parece trasladar la responsabilidad a factores externos, retratando a Cetus como una víctima de este defecto técnico.

Sin embargo, tras un análisis profundo, se descubrió que el éxito de un ataque de Hacker requiere cumplir simultáneamente con múltiples condiciones: verificación de desbordamiento errónea, operaciones de desplazamiento masivo, reglas de redondeo hacia arriba y falta de verificación de razonabilidad económica. Sorprendentemente, Cetus presenta fallos evidentes en cada uno de estos aspectos.

Por ejemplo, el sistema aceptó números astronómicos como 2^200 como entrada del usuario, utilizando operaciones de desplazamiento extremas que son extremadamente peligrosas y confiando completamente en el mecanismo de verificación de bibliotecas externas. Lo más mortal es que, cuando el sistema calcula una tasa de intercambio absurda, se ejecuta directamente sin ninguna verificación de sentido económico.

Este evento expone las deficiencias del equipo de Cetus en varios aspectos:

1. Conciencia de seguridad en la cadena de suministro débil: aunque se utilizan bibliotecas de código abierto y ampliamente aplicadas, no se comprenden completamente sus límites de seguridad, ni se preparan soluciones alternativas adecuadas.

2. Falta de talento en gestión de riesgos financieros: Permitir la entrada de números astronómicos irrazonables muestra que el equipo carece de la capacidad de gestión de riesgos con intuición financiera.

3. Dependencia excesiva de auditorías de seguridad: externalizar la responsabilidad de seguridad a empresas auditoras ignora la responsabilidad principal en materia de seguridad.

Este caso revela una debilidad sistémica común en la industria DeFi: los equipos con un trasfondo puramente técnico a menudo carecen de una conciencia básica sobre los riesgos financieros.

Para hacer frente a estos desafíos, los equipos de proyectos DeFi deberían:

• Introducir expertos en gestión de riesgos financieros para cubrir las lagunas de conocimiento del equipo técnico.
• Establecer un mecanismo de auditoría y revisión de múltiples partes, no solo seguir la auditoría de código, sino también dar importancia a la auditoría del modelo económico.
• Cultivar un "sentido financiero", simular varios escenarios de ataque y formular las contramedidas correspondientes, y mantener un alto nivel de vigilancia contra operaciones anormales.

Con el desarrollo de la industria, los fallos técnicos puramente en el nivel de código irán disminuyendo gradualmente, mientras que las "vulnerabilidades de conciencia" en la lógica empresarial, donde los límites no son claros y las responsabilidades son difusas, se convertirán en el mayor desafío. Las empresas de auditoría solo pueden asegurar que el código no tenga errores, pero cómo lograr que la "lógica tenga límites" requiere que el equipo del proyecto tenga una comprensión más profunda y capacidad de control sobre la naturaleza del negocio.

En el futuro, el éxito de la industria DeFi pertenecerá a aquellos equipos que dominen tanto la tecnología de código como que entiendan profundamente la lógica de negocios.