Phân tích sự kiện hacker Cetus: Lỗ hổng bảo mật phơi bày những điểm yếu hệ thống trong các dự án Tài chính phi tập trung.

Giao thức Cetus gần đây đã phát hành một báo cáo phục hồi an ninh sau cuộc tấn công của hacker, gây ra sự theo dõi rộng rãi trong ngành. Báo cáo này tiết lộ chi tiết kỹ thuật và quy trình ứng phó khẩn cấp, có thể nói là ở mức độ sách giáo khoa. Tuy nhiên, khi giải thích nguồn gốc của cuộc tấn công, báo cáo lại tỏ ra tránh né những điểm quan trọng.

Báo cáo chủ yếu tập trung vào việc kiểm tra lỗi của hàm checked_shlw trong thư viện integer-mate, phân loại nó là "sự hiểu lầm về ngữ nghĩa". Mặc dù mô tả này về mặt kỹ thuật là chính xác, nhưng dường như đã chuyển trách nhiệm sang bên ngoài, vẽ nên hình ảnh Cetus như một nạn nhân của khiếm khuyết kỹ thuật này.

Tuy nhiên, sau khi phân tích sâu, phát hiện rằng sự thành công của cuộc tấn công Hacker cần phải thỏa mãn đồng thời nhiều điều kiện: kiểm tra tràn sai, phép toán dịch bit lớn, quy tắc làm tròn lên và thiếu xác minh tính hợp lý kinh tế. Thật ngạc nhiên, Cetus có những thiếu sót rõ ràng ở mỗi khâu.

Ví dụ, hệ thống thậm chí chấp nhận những con số khổng lồ như 2^200 làm đầu vào của người dùng, áp dụng phép toán dịch chuyển cực kỳ nguy hiểm, hoàn toàn phụ thuộc vào cơ chế kiểm tra của thư viện bên ngoài. Điều chết người nhất là, khi hệ thống tính toán ra tỷ lệ hoán đổi vô lý, nó thậm chí không thực hiện bất kỳ kiểm tra nào về kiến thức kinh tế trước khi thực hiện trực tiếp.

Sự kiện này đã phơi bày những thiếu sót của đội ngũ Cetus ở nhiều khía cạnh:

1. Nhận thức về an ninh chuỗi cung ứng yếu: Mặc dù đã sử dụng thư viện mã nguồn mở và phổ biến, nhưng không hiểu đầy đủ về ranh giới an ninh của nó và cũng không chuẩn bị các phương án thay thế thích hợp.

2. Thiếu nhân tài quản lý rủi ro tài chính: cho phép nhập những con số khổng lồ không hợp lý, cho thấy đội ngũ thiếu khả năng quản lý rủi ro với trực giác tài chính.

3. Lạm dụng phụ thuộc vào kiểm toán an ninh: Giao trách nhiệm an ninh cho các công ty kiểm toán, bỏ qua trách nhiệm chính của bản thân trong vấn đề an ninh.

Trường hợp này tiết lộ điểm yếu an ninh hệ thống phổ biến trong ngành DeFi: các đội ngũ có nền tảng kỹ thuật thuần túy thường thiếu nhận thức về rủi ro tài chính cơ bản.

Để đối phó với những thách thức này, đội ngũ dự án DeFi nên:

• Mời chuyên gia quản lý rủi ro tài chính, bù đắp khoảng trống kiến thức của đội ngũ kỹ thuật.
• Thiết lập cơ chế kiểm tra và đánh giá đa bên, không chỉ theo dõi kiểm toán mã mà còn phải chú trọng đến kiểm toán mô hình kinh tế.
• Nuôi dưỡng "khứu giác tài chính", mô phỏng các kịch bản tấn công khác nhau và xây dựng các biện pháp đối phó tương ứng, duy trì sự cảnh giác cao độ đối với các hành động bất thường.

Với sự phát triển của ngành, các lỗ hổng kỹ thuật ở cấp mã sẽ dần giảm, trong khi các lỗ hổng "ý thức" do ranh giới không rõ ràng và trách nhiệm mơ hồ trong logic kinh doanh sẽ trở thành thách thức lớn nhất. Các công ty kiểm toán chỉ có thể đảm bảo mã không có lỗi, nhưng làm thế nào để thực hiện "logic có ranh giới" cần đội ngũ dự án có sự hiểu biết sâu sắc và khả năng kiểm soát về bản chất của kinh doanh.

Trong tương lai, thành công của ngành DeFi sẽ thuộc về những đội ngũ vừa thành thạo kỹ thuật lập trình, vừa hiểu sâu sắc logic kinh doanh.