Децентралізовані фінанси платформа зазнала атаки Хакера, що виявило численні вразливості безпеки. Галузі терміново потрібна свідомість щодо фінансових ризиків.

Нещодавно одна платформа Децентралізованих фінансів зазнала атаки хакера, що викликало широке обговорення питань безпеки DeFi в індустрії. Хоча випущений платформою звіт "аналіз інциденту" продемонстрував відмінні результати в технічних деталях і реагуванні на надзвичайні ситуації, при поясненні причин атаки він виявився дещо стриманим.

Звіт підкреслює помилку перевірки функцій у зовнішній математичній бібліотеці, описуючи її як "семантичне непорозуміння". Це формулювання, хоча технічно вірне, здається, має намір відвести увагу на зовнішні фактори, зменшуючи відповідальність самої платформи.

Однак, після детального аналізу виявлено, що успіх атаки хакера вимагає одночасного виконання кількох умов: помилкової перевірки на переповнення, значних зсувних операцій, правил округлення вгору та відсутності перевірки економічної доцільності. Платформа допускала недбалість на кожному ключовому етапі, включаючи прийняття нерозумних величезних входів, використання надзвичайно ризикованих методів обчислення, надмірну залежність від безпеки зовнішніх бібліотек, а найголовніше, коли система отримала явно нерозумні обмінні курси, вона навіть не провела жодних перевірок на рівні економічної доцільності і просто виконала їх.

Ця подія виявила серйозні проблеми на цій платформі в кількох аспектах:

1. Недостатня обізнаність щодо безпеки ланцюга постачання: хоча використовуються відкриті та широко застосовувані бібліотеки, але при управлінні великою кількістю активів не було достатнього розуміння безпекових меж та потенційних ризиків цієї бібліотеки.

2. Відсутність ефективного контролю за межами: дозволяє вводити нерозумні астрономічні цифри, що показує відсутність у команди базового усвідомлення фінансових ризиків.

3. Надмірна залежність від аудиту безпеки: багаторазові аудити безпеки не змогли виявити проблеми, що свідчить про те, що команда проєкту, можливо, надмірно делегувала відповідальність за безпеку, ігноруючи власні обов'язки з управління ризиками.

Цей випадок підкреслює системні недоліки безпеки, які існують у галузі Децентралізованих фінансів: багато команд надто зосереджені на технічному рівні, ігноруючи важливість управління фінансовими ризиками. Щоб вирішити цю проблему, проекти DeFi повинні:

• Запрошення експертів з фінансового ризику для заповнення знаннявих прогалин технічної команди.
• Створення багатостороннього механізму аудиту, який не тільки зосереджується на аудиті коду, а й надає значення аудиту економічної моделі.
• Розвивати "фінансовий нюх", моделювати різні сценарії атак та розробляти заходи реагування.
• Будьте надзвичайно обережні з аномальними операціями.

З розвитком галузі чисті технічні вразливості можуть поступово зменшитися, але "вразливості свідомості" в бізнес-логіці стануть більшим викликом. Компанії з безпеки можуть гарантувати правильність коду, але як визначити розумні межі бізнес-логіки, потрібне глибше розуміння та контроль команди проекту над сутністю бізнесу.

У майбутньому успіх індустрії Децентралізованих фінансів належатиме тим командам, які не лише мають потужні технічні можливості, але й глибоке розуміння бізнес-логіки. Це вимагає подолання традиційних обмежень технічного мислення, формування справжньої свідомості "фінансового інженера" та ідеального поєднання технічної експертизи з управління фінансовими ризиками.