Baru-baru ini, sebuah protokol Keuangan Desentralisasi terkenal mengalami serangan Hacker dan merilis laporan pemulihan insiden keamanan. Meskipun laporan ini menunjukkan kinerja yang baik dalam rincian teknis dan penanganan darurat, namun dalam menjelaskan akar serangan, laporan tersebut tampak agak menahan diri. Laporan ini menekankan kesalahan pemeriksaan pada fungsi pustaka matematika eksternal, mengklasifikasikannya sebagai "kesalahpahaman semantik", seolah-olah dengan sengaja ingin menyalahkan faktor eksternal.
Namun, analisis mendalam akan menemukan bahwa protokol tersebut memiliki kelalaian di beberapa titik kunci. Agar penyerang berhasil melaksanakan serangan, mereka perlu memenuhi beberapa syarat sekaligus, termasuk pemeriksaan overflow yang salah, operasi pergeseran yang besar, aturan pembulatan ke atas, serta kurangnya verifikasi kelayakan ekonomi. Menariknya, protokol tersebut memiliki celah di setiap titik.
Peristiwa ini mengungkapkan kekurangan serius tim protokol dalam manajemen risiko dan kesadaran keamanan:
Kurangnya pemahaman dan pengujian keamanan yang memadai terhadap pustaka eksternal yang digunakan, menunjukkan kurangnya kesadaran tentang keamanan rantai pasokan.
Mengizinkan input angka astronomi yang tidak masuk akal, tanpa menetapkan batasan yang wajar, mencerminkan kurangnya pengalaman dalam manajemen risiko keuangan.
Audit keamanan berulang kali gagal menemukan masalah, yang mengungkapkan ketergantungan dan kesalahpahaman yang berlebihan terhadap audit keamanan.
Masalah-masalah ini mengungkapkan kekurangan keamanan sistemik yang umum terjadi di industri Keuangan Desentralisasi: banyak tim terlalu bergantung pada pemikiran teknis dan kurang memiliki kesadaran risiko keuangan yang diperlukan.
Untuk mengatasi tantangan ini, proyek Keuangan Desentralisasi perlu mengambil langkah-langkah berikut:
Menghadirkan ahli manajemen risiko keuangan untuk mengisi kekosongan pengetahuan tim teknis.
Membangun mekanisme audit multi-pihak, tidak hanya fokus pada audit kode, tetapi juga memberikan perhatian pada audit model ekonomi.
Mengembangkan "indra keuangan" tim, mensimulasikan berbagai skenario serangan dan merumuskan langkah-langkah respons.
Tetap waspada terhadap operasi yang tidak biasa, dan membangun mekanisme identifikasi dan penanganan risiko yang efektif.
Seiring dengan perkembangan industri Keuangan Desentralisasi, Bug teknis murni mungkin akan berkurang, tetapi "Bug kesadaran" terkait logika bisnis dan pengendalian batasan akan menjadi tantangan yang lebih besar. Di masa depan, tim yang benar-benar dapat berhasil di bidang Keuangan Desentralisasi harus memiliki pemahaman mendalam tentang esensi bisnis sambil mempertahankan kekuatan teknis yang kuat, serta memiliki kemampuan manajemen risiko yang luar biasa.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
9 Suka
Hadiah
9
7
Bagikan
Komentar
0/400
CoffeeNFTs
· 07-29 09:39
Tidak ada gunanya, yang penting adalah menjaga seed dengan baik.
Lihat AsliBalas0
NftDataDetective
· 07-28 11:50
sejujurnya hari lain, hack lain... banyak teater keamanan?
Lihat AsliBalas0
token_therapist
· 07-28 00:25
Jangan pernah meremehkan kecerdasan Hacker.
Lihat AsliBalas0
LightningSentry
· 07-28 00:23
Tidak ada proyek yang berani menjamin 100% keamanan, kan?
Lihat AsliBalas0
LayerZeroHero
· 07-28 00:07
Sigh, tiga lapisan risiko klasik ternyata semua sudah terinjak.
Lihat AsliBalas0
PonziDetector
· 07-28 00:02
Another stupid donkey played people for suckers.
Lihat AsliBalas0
MetaverseLandlady
· 07-27 23:56
Apakah masih ada tim yang tidak melakukan audit keamanan? Apakah mereka sudah kehilangan akal?
Keamanan DeFi terungkap kembali: kerentanan bukan hanya masalah kode, kesadaran manajemen risiko keuangan perlu ditingkatkan
Baru-baru ini, sebuah protokol Keuangan Desentralisasi terkenal mengalami serangan Hacker dan merilis laporan pemulihan insiden keamanan. Meskipun laporan ini menunjukkan kinerja yang baik dalam rincian teknis dan penanganan darurat, namun dalam menjelaskan akar serangan, laporan tersebut tampak agak menahan diri. Laporan ini menekankan kesalahan pemeriksaan pada fungsi pustaka matematika eksternal, mengklasifikasikannya sebagai "kesalahpahaman semantik", seolah-olah dengan sengaja ingin menyalahkan faktor eksternal.
Namun, analisis mendalam akan menemukan bahwa protokol tersebut memiliki kelalaian di beberapa titik kunci. Agar penyerang berhasil melaksanakan serangan, mereka perlu memenuhi beberapa syarat sekaligus, termasuk pemeriksaan overflow yang salah, operasi pergeseran yang besar, aturan pembulatan ke atas, serta kurangnya verifikasi kelayakan ekonomi. Menariknya, protokol tersebut memiliki celah di setiap titik.
Peristiwa ini mengungkapkan kekurangan serius tim protokol dalam manajemen risiko dan kesadaran keamanan:
Kurangnya pemahaman dan pengujian keamanan yang memadai terhadap pustaka eksternal yang digunakan, menunjukkan kurangnya kesadaran tentang keamanan rantai pasokan.
Mengizinkan input angka astronomi yang tidak masuk akal, tanpa menetapkan batasan yang wajar, mencerminkan kurangnya pengalaman dalam manajemen risiko keuangan.
Audit keamanan berulang kali gagal menemukan masalah, yang mengungkapkan ketergantungan dan kesalahpahaman yang berlebihan terhadap audit keamanan.
Masalah-masalah ini mengungkapkan kekurangan keamanan sistemik yang umum terjadi di industri Keuangan Desentralisasi: banyak tim terlalu bergantung pada pemikiran teknis dan kurang memiliki kesadaran risiko keuangan yang diperlukan.
Untuk mengatasi tantangan ini, proyek Keuangan Desentralisasi perlu mengambil langkah-langkah berikut:
Menghadirkan ahli manajemen risiko keuangan untuk mengisi kekosongan pengetahuan tim teknis.
Membangun mekanisme audit multi-pihak, tidak hanya fokus pada audit kode, tetapi juga memberikan perhatian pada audit model ekonomi.
Mengembangkan "indra keuangan" tim, mensimulasikan berbagai skenario serangan dan merumuskan langkah-langkah respons.
Tetap waspada terhadap operasi yang tidak biasa, dan membangun mekanisme identifikasi dan penanganan risiko yang efektif.
Seiring dengan perkembangan industri Keuangan Desentralisasi, Bug teknis murni mungkin akan berkurang, tetapi "Bug kesadaran" terkait logika bisnis dan pengendalian batasan akan menjadi tantangan yang lebih besar. Di masa depan, tim yang benar-benar dapat berhasil di bidang Keuangan Desentralisasi harus memiliki pemahaman mendalam tentang esensi bisnis sambil mempertahankan kekuatan teknis yang kuat, serta memiliki kemampuan manajemen risiko yang luar biasa.