Cetus Hacker事件复盘：Tài chính phi tập trung项目如何避免技术与金融风险双重陷阱

Giao thức Cetus gần đây đã công bố một báo cáo phân tích an ninh sau cuộc tấn công của hacker, đã kích thích những suy nghĩ sâu sắc trong ngành về vấn đề an ninh DeFi. Báo cáo đã trình bày chi tiết các kỹ thuật và quy trình phản ứng khẩn cấp, nhưng khi giải thích nguyên nhân của cuộc tấn công thì lại hơi mơ hồ.

Báo cáo tập trung thảo luận về lỗi kiểm tra của hàm checked_shlw trong thư viện integer-mate, coi đó là "sự hiểu lầm về ngữ nghĩa". Mặc dù phát biểu này có thể đúng trên phương diện kỹ thuật, nhưng dường như có ý định chuyển trách nhiệm sang các yếu tố bên ngoài.

Tuy nhiên, sau khi phân tích sâu, phát hiện rằng sự thành công của cuộc tấn công của hacker cần phải đáp ứng bốn điều kiện: kiểm tra tràn sai, phép toán dịch chuyển lớn, quy tắc làm tròn lên và thiếu kiểm tra tính hợp lý kinh tế. Thật ngạc nhiên, Cetus đã sơ suất ở cả bốn điểm quan trọng này.

Sự kiện lần này đã phơi bày những thiếu sót của đội ngũ Cetus trong một số lĩnh vực sau:

1. Nhận thức về an toàn chuỗi cung ứng còn yếu: Mặc dù đã sử dụng thư viện mã nguồn mở và phổ biến, nhưng không hiểu đầy đủ về ranh giới an toàn và các rủi ro tiềm ẩn của nó.

2. Thiếu ý thức quản lý rủi ro tài chính: Cho phép nhập những con số trên trời không hợp lý, không thiết lập giới hạn biên phù hợp.

3. Lạm dụng sự phụ thuộc vào kiểm toán an ninh: Giao hoàn toàn trách nhiệm an ninh cho các công ty kiểm toán, bỏ qua trách nhiệm quản lý rủi ro của chính mình.

Sự kiện này phản ánh sự thiếu hụt an ninh hệ thống phổ biến trong ngành DeFi: các đội ngũ kỹ thuật thường thiếu ý thức về rủi ro tài chính cần thiết. Để đối phó với thách thức này, các dự án DeFi nên:

1. Mời chuyên gia quản lý rủi ro tài chính, bù đắp cho những khoảng trống kiến thức của đội ngũ kỹ thuật.
2. Thiết lập cơ chế kiểm toán đa bên, không chỉ chú trọng vào kiểm toán mã nguồn mà còn phải coi trọng kiểm toán mô hình kinh tế.
3. Nuôi dưỡng "khứu giác tài chính", mô phỏng các kịch bản tấn công khác nhau và xây dựng các biện pháp ứng phó tương ứng.

Với sự phát triển của ngành, các lỗi kỹ thuật thuần túy có thể giảm dần, nhưng "lỗi nhận thức" trong logic kinh doanh sẽ trở thành thách thức lớn hơn. Các công ty kiểm toán chỉ có thể đảm bảo mã không có lỗi, trong khi việc đảm bảo "logic có giới hạn" cần đội ngũ dự án có hiểu biết sâu sắc và khả năng kiểm soát bản chất của doanh nghiệp.

Trong tương lai, những người dẫn đầu trong ngành DeFi sẽ là những đội ngũ không chỉ có sức mạnh công nghệ mạnh mẽ, mà còn có sự hiểu biết sâu sắc về logic kinh doanh. Họ cần tìm ra sự cân bằng giữa chuyên môn kỹ thuật và khả năng nhìn nhận tài chính để duy trì lợi thế cạnh tranh trong lĩnh vực đang phát triển nhanh chóng này.