Cetus Hacker olayı değerlendirmesi: Güvenlik açığı DeFi projelerinin sistematik zayıflıklarını ortaya çıkardı

Cetus protokolü son zamanlarda bir hacker saldırısı güvenlik raporu yayınladı ve bu durum sektörde geniş bir takip et oluşturdu. Rapor, teknik detaylar ve acil durum yanıt sürecini ayrıntılı bir şekilde ortaya koyuyor, gerçekten de ders kitabı seviyesinde. Ancak, saldırının kökenini açıklarken, rapor önemli noktaları atlamış gibi görünüyor.

Rapor, integer-mate kütüphanesindeki checked_shlw fonksiyonunun kontrol hatalarına odaklanmakta ve bunları "anlam yanılması" olarak nitelendirmektedir. Bu anlatım teknik olarak doğru olsa da, dışarıya sorumluluğu devretmekte ve Cetus'u bu teknik kusurun kurbanı olarak tasvir etmektedir.

Ancak, derinlemesine bir analiz yapıldığında, hacker saldırısının başarılı olabilmesi için birden fazla koşulun aynı anda sağlanması gerektiği ortaya çıkmaktadır: Hatalı taşma kontrolü, büyük bit kaydırma işlemleri, yukarı yuvarlama kuralları ve ekonomik mantık doğrulaması eksikliği. Şaşırtıcı bir şekilde, Cetus her aşamada belirgin boşluklar barındırmaktadır.

Örneğin, sistem kullanıcı girişi olarak 2^200 gibi astronomik sayıları kabul etti ve son derece tehlikeli büyük kaydırma işlemleri gerçekleştirdi, tamamen dış kütüphanelerin kontrol mekanizmasına güvendi. En ölümcül olanı, sistemin absürt bir değişim oranı hesapladığında, hiçbir ekonomik mantık kontrolü olmadan doğrudan uygulamasıdır.

Bu olay, Cetus ekibinin birçok alanda yetersizliklerini ortaya koydu:

1. Tedarik zinciri güvenliği bilinci zayıf: Açık kaynaklı ve yaygın olarak kullanılan kütüphaneler kullanılmasına rağmen, güvenlik sınırlarını tam olarak anlamadılar ve uygun bir yedek plan hazırlamadılar.

2. Finansal risk yönetimi yeteneği olan personelin eksikliği: Mantıksız astronomik rakamların girmesine izin vererek, ekibin finansal sezgiye sahip risk yönetim yeteneğinden yoksun olduğunu gösteriyor.

3. Güvenlik denetimine aşırı bağımlılık: Güvenlik sorumluluğunu denetim şirketlerine devretmek, kendi güvenlik konusundaki ana sorumluluğunu göz ardı etmektedir.

Bu örnek, DeFi sektöründe yaygın olan sistemik güvenlik zayıflığını ortaya koyuyor: tamamen teknik bir geçmişe sahip ekipler genellikle temel finansal risk farkındalığından yoksundur.

Bu zorluklarla başa çıkmak için DeFi proje ekipleri şunları yapmalıdır:

• Finansal risk yönetimi uzmanlarını dahil ederek, teknik ekibin bilgi boşluklarını kapatmak.
• Çok taraflı denetim mekanizması kurmak, sadece kod denetimine değil, aynı zamanda ekonomik model denetimine de önem vermek gerekir.
• "Finans kokusu" geliştirin, çeşitli saldırı senaryolarını simüle edin ve buna uygun karşı tedbirler oluşturun, anormal işlemlere karşı yüksek bir dikkat gösterin.

Sektörün gelişimiyle birlikte, yalnızca kod düzeyindeki teknik açıklar giderek azalacak, ancak belirsiz sınırlar ve bulanık sorumluluklarla ilgili iş mantığındaki "bilinç açıkları" en büyük zorluk haline gelecektir. Denetim firmaları yalnızca kodun hatasız olduğunu garanti edebilir, ancak "mantığın sınırları olması" nasıl sağlanır, bunun için proje ekibinin işin özüne daha derin bir anlayış ve kontrol yeteneğine sahip olması gerekmektedir.

Gelecekte, DeFi sektöründeki başarı, hem kodlama teknolojisinde uzmanlaşmış hem de iş mantığını derinlemesine anlayan ekiplerin olacaktır.