A plataforma DeFi foi atacada por hackers, expondo múltiplas vulnerabilidades de segurança. O setor precisa urgentemente de consciência em gestão de riscos financeiros.

Recentemente, uma plataforma de Finanças Descentralizadas sofreu um ataque de hacker, desencadeando uma ampla discussão na indústria sobre questões de segurança no DeFi. O relatório de "revisão" do incidente publicado pela plataforma, embora tenha se destacado nos detalhes técnicos e na resposta de emergência, mostrou-se reservado ao explicar a origem do ataque.

O relatório enfatiza um erro na verificação de funções em uma biblioteca matemática externa, descrevendo-o como "mal-entendido semântico". Embora essa descrição seja tecnicamente precisa, parece intencionalmente desviar o foco para fatores externos, minimizando a responsabilidade da plataforma.

No entanto, após uma análise aprofundada, descobriu-se que o sucesso do ataque do hacker requer a satisfação simultânea de múltiplas condições: verificação de estouro de erro, operações de deslocamento significativo, regras de arredondamento para cima e falta de validação de viabilidade econômica. A plataforma cometeu negligências em cada um dos pontos críticos, incluindo a aceitação de entradas enormes e irregulares, a adoção de métodos de operação extremamente arriscados, a dependência excessiva da segurança de bibliotecas externas e, o mais crítico, quando o sistema chegou a uma proporção de troca claramente irrazoável, não realizou qualquer verificação de bom senso econômico e executou diretamente.

Este evento expôs sérios problemas na plataforma em vários aspectos:

1. Consciência de segurança da cadeia de suprimentos insuficiente: embora tenha sido utilizado uma biblioteca de código aberto amplamente aplicada, ao gerenciar um grande número de ativos, não foi possível compreender plenamente os limites de segurança e os riscos potenciais dessa biblioteca.

2. Falta de controle de fronteira eficaz: permitir a entrada de números astronômicos irracionais mostra que a equipe carece de uma consciência básica de gestão de risco financeiro.

3. Dependência excessiva de auditorias de segurança: múltiplas auditorias de segurança não conseguiram identificar problemas, refletindo que a equipe do projeto pode estar a externalizar excessivamente a responsabilidade de segurança, ignorando as suas próprias responsabilidades de gestão de risco.

Este caso destaca a lacuna de segurança sistêmica que existe amplamente na indústria de Finanças Descentralizadas: muitas equipas estão demasiado focadas na vertente técnica, ignorando a importância da gestão de risco financeiro. Para resolver este problema, os projetos de Finanças Descentralizadas precisam de:

• Introduzir especialistas em gestão de risco financeiro para colmatar as lacunas de conhecimento da equipa técnica.
• Estabelecer um mecanismo de auditoria multifacetado, que não só se concentre na auditoria de código, mas também dê importância à auditoria do modelo econômico.
• Desenvolver o "instinto financeiro", simular vários cenários de ataque e elaborar medidas de resposta.
• Mantenha-se altamente alerta para operações anormais.

Com o desenvolvimento da indústria, as falhas puramente técnicas podem diminuir gradualmente, mas as "falhas de consciência" na lógica de negócios se tornarão um desafio maior. As empresas de auditoria de segurança podem garantir que o código esteja correto, mas como determinar os limites razoáveis da lógica de negócios requer que a equipe do projeto tenha uma compreensão mais profunda e capacidade de controle da essência do negócio.

No futuro, o sucesso da indústria DeFi pertencerá àqueles que não apenas possuem uma forte capacidade técnica, mas também uma compreensão profunda da lógica de negócios. Isso requer ultrapassar as limitações do pensamento técnico tradicional e cultivar uma verdadeira consciência de "engenheiro financeiro", integrando perfeitamente a especialização técnica com a gestão de riscos financeiros.