Децентралізовані фінанси безпека знову виявилася під загрозою: вразливості - це не лише проблема коду, фінансову ризикову свідомість терміново потрібно підвищити.
Нещодавно відомий Децентралізовані фінанси протокол опублікував звіт про повторний аналіз інциденту безпеки після атаки хакера. Хоча цей звіт демонструє відмінні результати в технічних деталях та обробці надзвичайних ситуацій, він, здається, дещо стриманий у поясненні кореня атаки. Звіт акцентує увагу на помилці перевірки зовнішньої математичної бібліотеки, кваліфікуючи її як "семантичне непорозуміння", що, здається, навмисно перекладає відповідальність на зовнішні фактори.
Проте, глибокий аналіз виявляє, що цей протокол має недоліки на кількох ключових етапах. Щоб успішно провести атаку, зловмисник повинен одночасно виконати кілька умов, включаючи неправильну перевірку переповнення, великі зрушення, правила округлення вгору та відсутність економічної обґрунтованості перевірки. Дивно, але у цьому протоколі є вразливості на кожному етапі.
Ця подія виявила серйозні недоліки команди протоколу в управлінні ризиками та усвідомленні безпеки:
Нестача достатнього розуміння та безпекового тестування використаних зовнішніх бібліотек вказує на відсутність свідомості щодо безпеки ланцюга постачання.
Дозволяє вводити нерозумні астрономічні числа, не встановлюючи розумних меж, що свідчить про відсутність досвіду в управлінні фінансовими ризиками.
Багаторазові безпекові аудити не виявили проблем, що виявляє надмірну залежність і неправильне розуміння безпекового аудиту.
Ці питання виявляють системні недоліки безпеки, які існують у галузі Децентралізовані фінанси: багато команд надто покладаються на технічне мислення, не маючи необхідної фінансової обізнаності про ризики.
Щоб впоратися з цими викликами, проекти Децентралізовані фінанси повинні вжити такі заходи:
Залучення експертів з фінансового ризик-менеджменту для заповнення знань технічної команди.
Створення механізму багатостороннього аудиту, який не лише зосереджується на аудиті коду, а й надає значення аудиту економічної моделі.
Розвивати у команди "фінансовий нюх", моделювати різні сценарії атак та розробляти заходи реагування.
Зберігайте високу пильність до аномальних операцій, встановіть ефективний механізм виявлення та обробки ризиків.
З розвитком індустрії Децентралізовані фінанси, чисті технічні помилки можуть поступово зменшитися, але "свідомі помилки" в бізнес-логіці та контролі меж стануть більшим викликом. У майбутньому, команди, які зможуть досягти успіху в галузі Децентралізовані фінанси, повинні мати глибоке розуміння сутності бізнесу, зберігаючи при цьому потужну технічну спроможність, а також відмінні навички управління ризиками.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
9 лайків
Нагородити
9
7
Репост
Поділіться
Прокоментувати
0/400
CoffeeNFTs
· 07-29 09:39
Нічого не треба, просто зберігайте seed і все.
Переглянути оригіналвідповісти на0
NftDataDetective
· 07-28 11:50
чесно кажучи, ще один день, ще один хак... безпека театру багато?
Переглянути оригіналвідповісти на0
token_therapist
· 07-28 00:25
Ніколи не недооцінюйте мудрість хакера.
Переглянути оригіналвідповісти на0
LightningSentry
· 07-28 00:23
Жоден проект не наважиться гарантувати 100% безпеку.
Переглянути оригіналвідповісти на0
LayerZeroHero
· 07-28 00:07
Ай, класичні три шари ризику, справді всі на них наступили.
Переглянути оригіналвідповісти на0
PonziDetector
· 07-28 00:02
Ще один дурень обдурювати людей, як лохів
Переглянути оригіналвідповісти на0
MetaverseLandlady
· 07-27 23:56
Чи є ще команди, які не проводять безпекові аудити? У них, напевно, вода в голові.
Децентралізовані фінанси безпека знову виявилася під загрозою: вразливості - це не лише проблема коду, фінансову ризикову свідомість терміново потрібно підвищити.
Нещодавно відомий Децентралізовані фінанси протокол опублікував звіт про повторний аналіз інциденту безпеки після атаки хакера. Хоча цей звіт демонструє відмінні результати в технічних деталях та обробці надзвичайних ситуацій, він, здається, дещо стриманий у поясненні кореня атаки. Звіт акцентує увагу на помилці перевірки зовнішньої математичної бібліотеки, кваліфікуючи її як "семантичне непорозуміння", що, здається, навмисно перекладає відповідальність на зовнішні фактори.
Проте, глибокий аналіз виявляє, що цей протокол має недоліки на кількох ключових етапах. Щоб успішно провести атаку, зловмисник повинен одночасно виконати кілька умов, включаючи неправильну перевірку переповнення, великі зрушення, правила округлення вгору та відсутність економічної обґрунтованості перевірки. Дивно, але у цьому протоколі є вразливості на кожному етапі.
Ця подія виявила серйозні недоліки команди протоколу в управлінні ризиками та усвідомленні безпеки:
Нестача достатнього розуміння та безпекового тестування використаних зовнішніх бібліотек вказує на відсутність свідомості щодо безпеки ланцюга постачання.
Дозволяє вводити нерозумні астрономічні числа, не встановлюючи розумних меж, що свідчить про відсутність досвіду в управлінні фінансовими ризиками.
Багаторазові безпекові аудити не виявили проблем, що виявляє надмірну залежність і неправильне розуміння безпекового аудиту.
Ці питання виявляють системні недоліки безпеки, які існують у галузі Децентралізовані фінанси: багато команд надто покладаються на технічне мислення, не маючи необхідної фінансової обізнаності про ризики.
Щоб впоратися з цими викликами, проекти Децентралізовані фінанси повинні вжити такі заходи:
Залучення експертів з фінансового ризик-менеджменту для заповнення знань технічної команди.
Створення механізму багатостороннього аудиту, який не лише зосереджується на аудиті коду, а й надає значення аудиту економічної моделі.
Розвивати у команди "фінансовий нюх", моделювати різні сценарії атак та розробляти заходи реагування.
Зберігайте високу пильність до аномальних операцій, встановіть ефективний механізм виявлення та обробки ризиків.
З розвитком індустрії Децентралізовані фінанси, чисті технічні помилки можуть поступово зменшитися, але "свідомі помилки" в бізнес-логіці та контролі меж стануть більшим викликом. У майбутньому, команди, які зможуть досягти успіху в галузі Децентралізовані фінанси, повинні мати глибоке розуміння сутності бізнесу, зберігаючи при цьому потужну технічну спроможність, а також відмінні навички управління ризиками.