This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Cetusハッカー事件復盤:安全漏洞暴露分散型金融プロジェクトのシステム的短板
Cetusプロトコルは最近、ハッカーによる攻撃に関するセキュリティレビュー報告書を発表し、業界内で広くフォローされました。この報告書は、技術的な詳細と緊急対応プロセスを詳しく開示しており、教科書レベルと言えます。しかし、攻撃の根源を説明する際、報告書は重要な点を避けているように見えます。
報告は主にinteger-mateライブラリのchecked_shlw関数のチェックエラーに焦点を当て、それを「意味の誤解」と定義しています。この表現は技術的には正しいですが、外部に責任を転嫁し、Cetusをこの技術的欠陥の被害者として描いているようです。
しかし、詳細に分析した結果、ハッカー攻撃の成功には複数の条件が同時に満たされる必要があることがわかりました:誤ったオーバーフロー検査、大幅なシフト演算、切り上げルール、そして経済的合理性の検証が欠如しています。驚くべきことに、Cetusはすべての段階で明らかな欠陥が存在しています。
例えば、システムは2^200のような天文学的な数字をユーザー入力として受け入れ、極めて危険な大幅なビットシフト演算を行い、外部ライブラリのチェックメカニズムに完全に依存しました。最も致命的なのは、システムが不合理な交換比率を計算した際に、経済的常識に基づくチェックがまったくなく、直接実行されたことです。
この事件はCetusチームに複数の面で不足があることを明らかにしました:
サプライチェーンのセキュリティ意識が薄弱:オープンソースで広く使用されているライブラリを使用しているが、そのセキュリティ境界を十分に理解しておらず、適切な代替案も準備されていない。
金融リスク管理の人材不足:不合理な天文学的数字の入力を許可し、チームが金融の直感を持ったリスク管理能力に欠けていることを示しています。
セキュリティ監査への過度な依存:監査会社にセキュリティ責任を委託し、自身のセキュリティにおける主体的責任を無視している。
このケースは、DeFi業界に一般的に存在するシステム的なセキュリティの欠陥を明らかにしています:純粋な技術的背景を持つチームは、基本的な金融リスク意識を欠いていることが多いです。
これらの課題に対処するために、DeFiプロジェクトチームは次のことを行うべきです:
業界の発展に伴い、単純なコードレベルの技術的な脆弱性は徐々に減少していくが、境界が不明確で責任があいまいなビジネスロジックの"意識的脆弱性"が最大の課題となる。監査会社はコードにバグがないことを確認することしかできないが、"ロジックに境界がある"ことを実現するには、プロジェクトチームがビジネスの本質をより深く理解し、把握する能力が必要である。
未来、DeFi業界の成功は、コード技術に精通し、ビジネスロジックを深く理解しているチームに属するでしょう。