Cetus protokolü saldırıya uğraması olayı üzerine düşünceler ve dersler
Bir protokol, yakın zamanda bir Hacker saldırısı hakkında bir güvenlik "değerlendirme" raporu yayımladı. Bu rapor, teknik detaylar ve acil durum yanıtı açısından oldukça şeffaf bir şekilde sunulmuş, adeta bir ders kitabı seviyesinde. Ancak, "neden hacklendik?" sorusuna yanıt verirken, rapor biraz yüzeysel kalmış.
Rapor, integer-mate kütüphanesindeki checked_shlw fonksiyonunun kontrol hatalarını (≤2^192 olması gerekirken, gerçekte ≤2^256) kapsamlı bir şekilde açıklamaktadır ve bunu "anlamsal bir yanlış anlama" olarak nitelendirir. Bu anlatım teknik olarak eleştiriye kapalı olsa da, dikkatleri dış sorumluluklara yönlendirmek için ustaca bir yol bulmakta ve sanki protokol de bu teknik hatanın masum bir kurbanıymış gibi bir izlenim yaratmaktadır.
Ancak, düşünmeye değer bir şey var: integer-mate geniş çapta kullanılan bir açık kaynak matematik kütüphanesi olduğuna göre, neden bu protokolde böyle saçma bir hata ortaya çıktı ve sadece 1 token ile yüksek değerli likidite payı elde edilebiliyor?
Hacker saldırı yollarını analiz ettiğimizde, başarılı bir saldırının dört koşulun aynı anda sağlanması gerektiği görülüyor: hatalı taşma kontrolü, büyük kaydırma işlemleri, yukarı yuvarlama kuralları ve ekonomik mantık eksikliği doğrulaması. Şaşırtıcı olan, protokolün her bir "tetikleyici" koşulda "dikkatsizlik" sergilemesidir: kullanıcıdan 2^200 gibi astronomik bir sayı kabul etmek, son derece tehlikeli büyük kaydırma işlemleri kullanmak, dış kütüphanelerin kontrol mekanizmasına tamamen güvenmek. En ölümcül olanı ise, sistemin "1 token karşılığında astronomik bir pay" gibi bariz bir mantıksız sonuç hesapladığında, herhangi bir ekonomik mantık kontrolü yapılmadan direkt uygulanmasıdır.
Bu nedenle, bu protokolün gerçekten düşünmesi gereken sorunlar şunlardır:
Neden genel dış kütüphaneler kullanılırken yeterli güvenlik testleri yapılmadı? integer-mate kütüphanesi açık kaynak, popüler ve yaygın olarak kullanılan özelliklere sahip olmasına rağmen, yüz milyonlarca dolarlık varlık yönetiminde, protokolün bu kütüphanenin güvenlik sınırları hakkında derin bir anlayışa sahip olmadığı ve kütüphane işlevselliği başarısız olduğunda alternatif çözümlerinin olmadığı açıktır. Bu, protokolün tedarik zinciri güvenliği koruma bilincindeki eksiklikleri ortaya koymaktadır.
Neden astronomik sayılara girişe izin veriliyor ve makul bir sınır belirlenmiyor? Merkeziyetsiz finans protokolleri açıklığı hedeflese de, olgun bir finansal sistem ne kadar açık olursa olsun, o kadar belirgin sınırlara ihtiyaç duyar. Bu kadar abartılı sayılara girişe izin vermek, ekibin finansal sezgiye sahip risk yönetimi uzmanlarından yoksun olduğunu gösteriyor.
Neden birden fazla güvenlik denetiminden sonra hala sorunlar önceden tespit edilemedi? Bu, projenin güvenlik sorumluluğunu tamamen güvenlik şirketine devretmesi ve denetimi bir muafiyet madalyası olarak görmesi gibi ölümcül bir yanlış anlamayı yansıtıyor. Ancak, güvenlik denetim mühendisleri esas olarak kod açıklarını tespit etme konusunda uzmandır, test sisteminin son derece mantıksız bir değişim oranı hesapladığında ortaya çıkabilecek sorunları nadiren dikkate alırlar.
Bu matematik, kriptografi ve ekonomi arasındaki sınırları aşan doğrulama, modern merkeziyetsiz finans güvenliği alanındaki en büyük kör noktadır. Denetim şirketleri bunun bir ekonomik model tasarım hatası olduğunu düşünebilir, kod mantığı sorunu değil; proje sahipleri ise denetimin sorunu tespit edemediğinden şikayet edebilir; ama en sonunda zarar gören kullanıcıların varlıklarıdır.
Bu olay, merkeziyetsiz finans sektörünün sistematik güvenlik açığını ortaya koydu: tamamen teknik bir geçmişe sahip ekipler genellikle temel "finansal risk algısı" bakımından ciddi bir eksiklik göstermektedir.
Bu protokol raporuna göre, ekip bunun tam olarak farkında görünmüyor. Sadece bu hacker saldırısının teknik kusurlarına odaklanmak yerine, tüm merkeziyetsiz finans ekipleri saf teknik düşüncenin sınırlarını aşmalı ve gerçekten "finans mühendisleri" olarak güvenlik risk bilincini geliştirmelidir.
Belirli önlemler şunları içerebilir: finansal risk uzmanlarını dahil etmek, teknik ekibin bilgi boşluklarını kapatmak; kod denetiminin yanı sıra ekonomik model denetimine de önem veren çok taraflı denetim inceleme mekanizması oluşturmak; "finansal sezgi" geliştirmek, çeşitli saldırı senaryolarını simüle etmek ve buna karşılık gelen önlemleri almak, anormal işlemlere karşı yüksek derecede dikkatli olmak gibi.
Bu, güvenlik endüstrisindeki profesyonellerin ortak görüşünü akla getiriyor: Endüstri olgunlaştıkça, saf kod tabanlı teknik açıklar giderek azalacak ve belirsiz sınırlar, muğlak sorumluluklar ile ilgili iş mantığındaki "bilinç açıkları" en büyük zorluk haline gelecektir.
Denetim şirketleri kodun hatasız olduğundan emin olabilir, ancak "mantığın sınırları olması" projenin ekiplerinin işin doğasına daha derinlemesine bir anlayış ve sınır kontrol yeteneğine sahip olmasını gerektirir. Bu da, birçok güvenlik denetiminden geçmiş projenin hala hacker saldırısına uğramasının temel nedenini açıklamaktadır.
Gelecekteki merkeziyetsiz finans, yalnızca kod teknolojisine hakim olan değil, aynı zamanda iş mantığını derinlemesine anlayan ekiplerin olacaktır!
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
11 Likes
Reward
11
3
Share
Comment
0/400
ShibaSunglasses
· 07-25 08:46
Gerçekten suçu başkasına atma ustası.
View OriginalReply0
AirdropHunterWang
· 07-23 02:57
Yine emiciler tarafından oyuna getirildim, kaçmaya hazırlanıyorum
Cetus protokolü hacklendi, Merkezi Olmayan Finans güvenlik açıklarını ortaya koydu: Teknoloji ve finans arasındaki boşluk acilen kapatılmalı.
Cetus protokolü saldırıya uğraması olayı üzerine düşünceler ve dersler
Bir protokol, yakın zamanda bir Hacker saldırısı hakkında bir güvenlik "değerlendirme" raporu yayımladı. Bu rapor, teknik detaylar ve acil durum yanıtı açısından oldukça şeffaf bir şekilde sunulmuş, adeta bir ders kitabı seviyesinde. Ancak, "neden hacklendik?" sorusuna yanıt verirken, rapor biraz yüzeysel kalmış.
Rapor, integer-mate kütüphanesindeki checked_shlw fonksiyonunun kontrol hatalarını (≤2^192 olması gerekirken, gerçekte ≤2^256) kapsamlı bir şekilde açıklamaktadır ve bunu "anlamsal bir yanlış anlama" olarak nitelendirir. Bu anlatım teknik olarak eleştiriye kapalı olsa da, dikkatleri dış sorumluluklara yönlendirmek için ustaca bir yol bulmakta ve sanki protokol de bu teknik hatanın masum bir kurbanıymış gibi bir izlenim yaratmaktadır.
Ancak, düşünmeye değer bir şey var: integer-mate geniş çapta kullanılan bir açık kaynak matematik kütüphanesi olduğuna göre, neden bu protokolde böyle saçma bir hata ortaya çıktı ve sadece 1 token ile yüksek değerli likidite payı elde edilebiliyor?
Hacker saldırı yollarını analiz ettiğimizde, başarılı bir saldırının dört koşulun aynı anda sağlanması gerektiği görülüyor: hatalı taşma kontrolü, büyük kaydırma işlemleri, yukarı yuvarlama kuralları ve ekonomik mantık eksikliği doğrulaması. Şaşırtıcı olan, protokolün her bir "tetikleyici" koşulda "dikkatsizlik" sergilemesidir: kullanıcıdan 2^200 gibi astronomik bir sayı kabul etmek, son derece tehlikeli büyük kaydırma işlemleri kullanmak, dış kütüphanelerin kontrol mekanizmasına tamamen güvenmek. En ölümcül olanı ise, sistemin "1 token karşılığında astronomik bir pay" gibi bariz bir mantıksız sonuç hesapladığında, herhangi bir ekonomik mantık kontrolü yapılmadan direkt uygulanmasıdır.
Bu nedenle, bu protokolün gerçekten düşünmesi gereken sorunlar şunlardır:
Neden genel dış kütüphaneler kullanılırken yeterli güvenlik testleri yapılmadı? integer-mate kütüphanesi açık kaynak, popüler ve yaygın olarak kullanılan özelliklere sahip olmasına rağmen, yüz milyonlarca dolarlık varlık yönetiminde, protokolün bu kütüphanenin güvenlik sınırları hakkında derin bir anlayışa sahip olmadığı ve kütüphane işlevselliği başarısız olduğunda alternatif çözümlerinin olmadığı açıktır. Bu, protokolün tedarik zinciri güvenliği koruma bilincindeki eksiklikleri ortaya koymaktadır.
Neden astronomik sayılara girişe izin veriliyor ve makul bir sınır belirlenmiyor? Merkeziyetsiz finans protokolleri açıklığı hedeflese de, olgun bir finansal sistem ne kadar açık olursa olsun, o kadar belirgin sınırlara ihtiyaç duyar. Bu kadar abartılı sayılara girişe izin vermek, ekibin finansal sezgiye sahip risk yönetimi uzmanlarından yoksun olduğunu gösteriyor.
Neden birden fazla güvenlik denetiminden sonra hala sorunlar önceden tespit edilemedi? Bu, projenin güvenlik sorumluluğunu tamamen güvenlik şirketine devretmesi ve denetimi bir muafiyet madalyası olarak görmesi gibi ölümcül bir yanlış anlamayı yansıtıyor. Ancak, güvenlik denetim mühendisleri esas olarak kod açıklarını tespit etme konusunda uzmandır, test sisteminin son derece mantıksız bir değişim oranı hesapladığında ortaya çıkabilecek sorunları nadiren dikkate alırlar.
Bu matematik, kriptografi ve ekonomi arasındaki sınırları aşan doğrulama, modern merkeziyetsiz finans güvenliği alanındaki en büyük kör noktadır. Denetim şirketleri bunun bir ekonomik model tasarım hatası olduğunu düşünebilir, kod mantığı sorunu değil; proje sahipleri ise denetimin sorunu tespit edemediğinden şikayet edebilir; ama en sonunda zarar gören kullanıcıların varlıklarıdır.
Bu olay, merkeziyetsiz finans sektörünün sistematik güvenlik açığını ortaya koydu: tamamen teknik bir geçmişe sahip ekipler genellikle temel "finansal risk algısı" bakımından ciddi bir eksiklik göstermektedir.
Bu protokol raporuna göre, ekip bunun tam olarak farkında görünmüyor. Sadece bu hacker saldırısının teknik kusurlarına odaklanmak yerine, tüm merkeziyetsiz finans ekipleri saf teknik düşüncenin sınırlarını aşmalı ve gerçekten "finans mühendisleri" olarak güvenlik risk bilincini geliştirmelidir.
Belirli önlemler şunları içerebilir: finansal risk uzmanlarını dahil etmek, teknik ekibin bilgi boşluklarını kapatmak; kod denetiminin yanı sıra ekonomik model denetimine de önem veren çok taraflı denetim inceleme mekanizması oluşturmak; "finansal sezgi" geliştirmek, çeşitli saldırı senaryolarını simüle etmek ve buna karşılık gelen önlemleri almak, anormal işlemlere karşı yüksek derecede dikkatli olmak gibi.
Bu, güvenlik endüstrisindeki profesyonellerin ortak görüşünü akla getiriyor: Endüstri olgunlaştıkça, saf kod tabanlı teknik açıklar giderek azalacak ve belirsiz sınırlar, muğlak sorumluluklar ile ilgili iş mantığındaki "bilinç açıkları" en büyük zorluk haline gelecektir.
Denetim şirketleri kodun hatasız olduğundan emin olabilir, ancak "mantığın sınırları olması" projenin ekiplerinin işin doğasına daha derinlemesine bir anlayış ve sınır kontrol yeteneğine sahip olmasını gerektirir. Bu da, birçok güvenlik denetiminden geçmiş projenin hala hacker saldırısına uğramasının temel nedenini açıklamaktadır.
Gelecekteki merkeziyetsiz finans, yalnızca kod teknolojisine hakim olan değil, aynı zamanda iş mantığını derinlemesine anlayan ekiplerin olacaktır!