Cetus Hacker事件复盘：Keuangan Desentralisasi项目如何避免技术与金融风险双重陷阱

Cetus Protocol baru-baru ini merilis laporan evaluasi keamanan serangan hacker, yang memicu pemikiran mendalam di industri mengenai masalah keamanan DeFi. Laporan tersebut menjelaskan secara rinci detail teknis dan proses respons darurat, tetapi saat menjelaskan akar penyebab serangan, agak kabur.

Laporan ini menekankan kesalahan pemeriksaan fungsi checked_shlw dalam pustaka integer-mate, mengklasifikasikannya sebagai "kesalahpahaman semantik". Pernyataan ini mungkin berlaku secara teknis, tetapi tampaknya dengan sengaja mengalihkan tanggung jawab kepada faktor eksternal.

Namun, setelah analisis mendalam, ditemukan bahwa keberhasilan serangan Hacker memerlukan pemenuhan empat kondisi sekaligus: pemeriksaan overflow yang salah, operasi pergeseran yang besar, aturan pembulatan ke atas, dan kurangnya verifikasi kelayakan ekonomi. Yang mengejutkan, Cetus telah lalai pada keempat poin kunci ini.

Peristiwa kali ini mengungkapkan kekurangan tim Cetus dalam beberapa aspek berikut:

1. Kesadaran keamanan rantai pasokan yang lemah: Meskipun menggunakan pustaka sumber terbuka yang banyak digunakan, namun tidak sepenuhnya memahami batasan keamanannya dan risiko potensial.

2. Kurangnya kesadaran manajemen risiko keuangan: mengizinkan input angka astronomis yang tidak masuk akal, tanpa menetapkan batasan yang sesuai.

3. Ketergantungan berlebihan pada audit keamanan: Mengalihkan tanggung jawab keamanan sepenuhnya kepada perusahaan audit, mengabaikan tanggung jawab manajemen risiko sendiri.

Peristiwa ini mencerminkan kelemahan keamanan sistemik yang umum ada di industri Keuangan Desentralisasi: tim teknologi seringkali kurang memiliki kesadaran risiko keuangan yang diperlukan. Untuk menghadapi tantangan ini, proyek Keuangan Desentralisasi seharusnya:

1. Mengundang ahli risiko keuangan untuk mengisi area pengetahuan yang kosong di tim teknologi.
2. Membangun mekanisme audit multi-pihak, tidak hanya fokus pada audit kode, tetapi juga harus memperhatikan audit model ekonomi.
3. Mengembangkan "indera keuangan", mensimulasikan berbagai skenario serangan dan merumuskan langkah-langkah respons yang sesuai.

Seiring dengan perkembangan industri, Bug teknologi murni mungkin akan berkurang, tetapi "Bug kesadaran" dalam logika bisnis akan menjadi tantangan yang lebih besar. Perusahaan audit hanya dapat memastikan bahwa kode tidak memiliki kesalahan, sementara bagaimana memastikan bahwa "logika memiliki batas" memerlukan tim proyek untuk memiliki pemahaman yang lebih mendalam dan kemampuan pengendalian terhadap esensi bisnis.

Di masa depan, pemimpin industri Keuangan Desentralisasi akan menjadi tim-tim yang tidak hanya memiliki kekuatan teknologi yang kuat, tetapi juga pemahaman mendalam tentang logika bisnis. Mereka perlu menemukan keseimbangan antara keahlian teknis dan wawasan keuangan untuk mempertahankan keunggulan kompetitif di bidang yang berkembang pesat ini.