La plataforma DeFi fue atacada por hackers, exponiendo múltiples vulnerabilidades de seguridad. La industria necesita urgentemente una conciencia de control de riesgos financieros.

Recientemente, una plataforma de Finanzas descentralizadas sufrió un ataque de un Hacker, lo que generó una amplia discusión en la industria sobre los problemas de seguridad en DeFi. Aunque el informe de "revisión" del evento publicado por la plataforma es excelente en detalles técnicos y respuesta de emergencia, parece ser reservado al explicar la raíz del ataque.

El informe enfatiza un error de verificación de funciones en una biblioteca matemática externa, describiéndolo como "malentendido semántico". Aunque esta narración es técnicamente precisa, parece que intencionalmente desvía el enfoque hacia factores externos, minimizando la responsabilidad de la plataforma misma.

Sin embargo, tras un análisis más profundo, se descubrió que el éxito de un ataque hacker requiere cumplir múltiples condiciones al mismo tiempo: chequeos de desbordamiento incorrectos, operaciones de desplazamiento significativo, reglas de redondeo hacia arriba y falta de verificación de razonabilidad económica. La plataforma mostró negligencia en cada uno de los puntos críticos, incluyendo la aceptación de entradas exorbitantes e irrazonables, la adopción de métodos de cálculo de alto riesgo, y una dependencia excesiva de la seguridad de bibliotecas externas; lo más crítico es que, cuando el sistema llegó a una proporción de intercambio claramente irrazonable, no se realizó ninguna verificación a nivel de sentido común económico antes de ejecutar la operación.

Este evento expone serios problemas en la plataforma en los siguientes aspectos:

1. Conciencia de seguridad de la cadena de suministro insuficiente: aunque se utilizan bibliotecas de código abierto y ampliamente aplicadas, al gestionar una gran cantidad de activos, no se comprende adecuadamente los límites de seguridad y los riesgos potenciales de esa biblioteca.

2. Falta de control de límites efectivo: permitir la entrada de números astronómicos irracionales demuestra que el equipo carece de una conciencia básica de gestión de riesgos financieros.

3. Dependencia excesiva de auditorías de seguridad: múltiples rondas de auditorías de seguridad no lograron identificar problemas, lo que refleja que el equipo del proyecto puede haber externalizado en exceso la responsabilidad de seguridad, ignorando sus propias responsabilidades en la gestión de riesgos.

Este caso destaca la debilidad sistémica de seguridad que existe de manera generalizada en la industria DeFi: muchos equipos se centran demasiado en el aspecto técnico y descuidan la importancia de la gestión de riesgos financieros. Para resolver este problema, los proyectos DeFi necesitan:

• Incorporar expertos en gestión de riesgos financieros para compensar las lagunas de conocimiento del equipo técnico.
• Establecer un mecanismo de auditoría múltiple, no solo enfocándose en la auditoría de código, sino también en la auditoría del modelo económico.
• Desarrollar un "olfato financiero", simular varios escenarios de ataque y elaborar medidas de respuesta.
• Mantener una alta vigilancia sobre las operaciones anómalas.

Con el desarrollo de la industria, las vulnerabilidades puramente técnicas pueden ir disminuyendo gradualmente, pero las "vulnerabilidades de conciencia" en la lógica de negocio se convertirán en un desafío mayor. Las empresas de auditoría de seguridad pueden garantizar que el código esté libre de errores, pero determinar los límites razonables de la lógica de negocio requiere que el equipo del proyecto tenga un entendimiento y control más profundo de la esencia del negocio.

En el futuro, el éxito de la industria DeFi pertenecerá a aquellos equipos que no solo tengan una fuerte capacidad técnica, sino que también tengan una comprensión profunda de la lógica empresarial. Esto requiere superar las limitaciones del pensamiento técnico tradicional y cultivar una verdadera conciencia de "ingenieros financieros", fusionando a la perfección la experiencia técnica con la gestión de riesgos financieros.