Децентрализованные финансы платформа遭Хакер攻击暴露多重安全漏洞 行业亟需金融风控意识

В последнее время одна из платформ децентрализованных финансов подверглась хакерской атаке, что вызвало широкое обсуждение вопросов безопасности DeFi в отрасли. Хотя опубликованный платформой отчет о событии "анализ" продемонстрировал отличные результаты в технических деталях и реагировании на чрезвычайные ситуации, он оказался сдержанным в объяснении причин атаки.

Доклад акцентирует внимание на проверке ошибок функции во внешней математической библиотеке, описывая это как "семантическое недоразумение". Хотя такое описание технически точно, оно, похоже, намеренно смещает акцент на внешние факторы, уменьшая ответственность самой платформы.

Однако, после глубокого анализа выясняется, что для успешной атаки хакеров необходимо одновременно выполнить несколько условий: ошибочная проверка на переполнение, значительные смещения в вычислениях, правила округления вверх и отсутствие проверки экономической целесообразности. Платформа проявила небрежность на каждом ключевом этапе, включая принятие неразумных огромных входных данных, использование методов вычисления с крайне высоким риском, чрезмерную зависимость от безопасности внешних библиотек. Самое главное, когда система выдала явно неразумные обменные пропорции, она просто выполнила операцию без какой-либо проверки экономической целесообразности.

Данное событие выявило серьезные проблемы на этой платформе в следующих аспектах:

1. Недостаточная осведомленность о безопасности цепочки поставок: хотя использовались открытые и широко применяемые библиотеки, при управлении большим количеством активов не удалось в полной мере понять границы безопасности этой библиотеки и потенциальные риски.

2. Отсутствие эффективного контроля границ: разрешение ввода неразумных астрономических цифр демонстрирует, что команда не имеет базового понимания управления финансовыми рисками.

3. Чрезмерная зависимость от аудитов безопасности: многократные аудиты безопасности не смогли выявить проблемы, что указывает на то, что команда проекта, возможно, чрезмерно делегировала ответственность за безопасность, игнорируя свои собственные обязанности по управлению рисками.

Этот случай подчеркивает общую системную уязвимость в индустрии DeFi: многие команды слишком сосредоточены на техническом аспекте и пренебрегают важностью управления финансовыми рисками. Чтобы решить эту проблему, проектам DeFi необходимо:

• Привлечение экспертов в области финансового риск-менеджмента для восполнения знаний технической команды.
• Создание многостороннего механизма аудита, который не только ориентирован на аудит кода, но и придает значение аудиту экономической модели.
• Развивать "финансовое чутье", моделируя различные сценарии атак и разрабатывая меры по их предотвращению.
• Будьте настойчивы в отношении необычных операций.

С развитием отрасли чистые технические уязвимости могут постепенно уменьшаться, но "осознанные уязвимости" в бизнес-логике станут более серьезной проблемой. Компании по безопасности могут гарантировать, что код безошибочен, но как определить разумные границы бизнес-логики, требует от проектной команды более глубокого понимания и контроля за сутью бизнеса.

В будущем успех в индустрии DeFi будет принадлежать тем командам, которые не только обладают сильными техническими навыками, но и имеют глубокое понимание бизнес-логики. Это требует преодоления ограничений традиционного технического мышления и формирования настоящего сознания "финансового инженера", которое идеально сочетает техническую экспертизу с управлением финансовыми рисками.