أصدر بروتوكول سيتوس مؤخرًا تقريرًا عن مراجعة أمان الهجمات هاكر، مما أثار تفكيرًا عميقًا في صناعة التمويل اللامركزي حول مسائل الأمان. يكشف التقرير بالتفصيل عن التفاصيل الفنية وعملية الاستجابة الطارئة، لكنه كان غامضًا بعض الشيء عند تفسير جذور الهجوم.
تتركز التقارير على فحص الأخطاء في دالة checked_shlw لمكتبة integer-mate، وتعتبرها مشكلة "سوء فهم دلالي". ومع ذلك، يبدو أن هذا التفسير يبسط للغاية طبيعة الحدث.
عند تحليل مسار هجمات الهاكر بعناية، نجد أن المهاجمين يحتاجون إلى الاستفادة من أربعة شروط في نفس الوقت لتحقيق النجاح: فحص تدفق خاطئ، عمليات إزاحة كبيرة، قواعد التقريب للأعلى، ونقص في التحقق من الجدوى الاقتصادية. من المدهش أن Cetus تحتوي على ثغرات واضحة في كل مرحلة من هذه المراحل.
هذه الحادثة كشفت عن وجود نقص خطير لدى فريق Cetus في الجوانب التالية:
ضعف الوعي بأمان سلسلة التوريد. على الرغم من استخدام مكتبات مفتوحة المصدر وشائعة الاستخدام، إلا أنه لم يتم فهم حدود أمان هذه المكتبات والمخاطر المحتملة بشكل كافٍ أثناء إدارة الأصول الضخمة.
نقص في قيود الإدخال المعقولة. يسمح بإدخال أرقام فلكية غير تقليدية، دون وضع شروط حدودية مناسبة، مما يظهر غياب الوعي بإدارة المخاطر.
مفاهيم خاطئة حول تدقيق الأمان. الاعتماد المفرط على تدقيق الأمان من طرف ثالث، مع تجاهل المسؤولية الذاتية عن أمان النظام.
هذه الحادثة ليست مجرد مشكلة في Cetus، بل تعكس نقاط الضعف الأمنية النظامية التي يعاني منها قطاع التمويل اللامركزي بشكل عام. يعتمد العديد من الفرق بشكل مفرط على التفكير الفني البحت، ويعانون من نقص الوعي بالمخاطر المالية اللازمة.
من أجل تحسين الأمان العام لمشاريع التمويل اللامركزي ، يُنصح باتخاذ التدابير التالية:
استقطاب خبراء في إدارة المخاطر المالية لسد الفجوات المعرفية لدى الفريق التقني في المجال المالي.
إنشاء آلية تدقيق متعددة الأطراف، لا تركز فقط على تدقيق الكود، بل يجب أيضًا إيلاء أهمية لتدقيق النموذج الاقتصادي.
تطوير "حاسة المالية" للفريق، ومحاكاة سيناريوهات الهجوم المختلفة ووضع تدابير للتعامل معها.
كن دائمًا يقظًا تجاه العمليات غير العادية، وأنشئ آلية فعالة للتحذير من المخاطر.
مع التطور المستمر لصناعة التمويل اللامركزي، قد تتناقص الأخطاء التقنية البحتة تدريجياً، لكن "أخطاء الوعي" في المنطق التجاري ستصبح تحدياً أكبر. ستحتاج مشاريع التمويل اللامركزي المستقبلية ليس فقط إلى قوة تقنية قوية، ولكن أيضاً إلى فريق لديه فهم عميق لطبيعة العمل وقدرة دقيقة على التحكم. فقط من خلال الدمج العميق بين التقنية والأعمال يمكن الحفاظ على المنافسة والأمان في هذا المجال سريع التطور.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 26
أعجبني
26
9
إعادة النشر
مشاركة
تعليق
0/400
AllInAlice
· 07-13 15:24
كم عدد المرات التي يجب أن يتم فيها المراجعة، كل يوم هو ضربة قاضية
شاهد النسخة الأصليةرد0
BlockchainGriller
· 07-13 04:32
مع هذه الأمان، إنها حقًا أقل موثوقية من شيشتي.
شاهد النسخة الأصليةرد0
GateUser-4745f9ce
· 07-11 20:38
يستحق هاكرز دائرتنا الثراء
شاهد النسخة الأصليةرد0
ShibaOnTheRun
· 07-11 14:55
فحص الفائض سيتسبب في مشاكل، حقًا، لقد أصبحت الأمور سيئة بهذا الشكل.
شاهد النسخة الأصليةرد0
MechanicalMartel
· 07-10 16:19
أليس من المحتمل أن هذه المراجعة قد طلبت من المتدربين القيام بها؟
شاهد النسخة الأصليةرد0
OnchainArchaeologist
· 07-10 16:11
يبدو أن Cetus قد تم استغلاله بشكل مفرط.
شاهد النسخة الأصليةرد0
JustHereForAirdrops
· 07-10 16:07
هل لا يمكن حتى اجتياز التدقيق؟ هل يمكن أن يكون هذا على السلسلة؟
شاهد النسخة الأصليةرد0
AirdropChaser
· 07-10 16:03
من الواضح أنه تم خداع الشخص، تربية الأسماك، تربية الأسماك.
شاهد النسخة الأصليةرد0
GateUser-beba108d
· 07-10 15:59
فليكن إذا كان هناك تجاوز، لا تضع الكثير من الأعذار.
استعراض ثغرة سيتوس يكشف عن نقاط الضعف النظامية في أمان صناعة التمويل اللامركزي
أصدر بروتوكول سيتوس مؤخرًا تقريرًا عن مراجعة أمان الهجمات هاكر، مما أثار تفكيرًا عميقًا في صناعة التمويل اللامركزي حول مسائل الأمان. يكشف التقرير بالتفصيل عن التفاصيل الفنية وعملية الاستجابة الطارئة، لكنه كان غامضًا بعض الشيء عند تفسير جذور الهجوم.
تتركز التقارير على فحص الأخطاء في دالة checked_shlw لمكتبة integer-mate، وتعتبرها مشكلة "سوء فهم دلالي". ومع ذلك، يبدو أن هذا التفسير يبسط للغاية طبيعة الحدث.
عند تحليل مسار هجمات الهاكر بعناية، نجد أن المهاجمين يحتاجون إلى الاستفادة من أربعة شروط في نفس الوقت لتحقيق النجاح: فحص تدفق خاطئ، عمليات إزاحة كبيرة، قواعد التقريب للأعلى، ونقص في التحقق من الجدوى الاقتصادية. من المدهش أن Cetus تحتوي على ثغرات واضحة في كل مرحلة من هذه المراحل.
هذه الحادثة كشفت عن وجود نقص خطير لدى فريق Cetus في الجوانب التالية:
ضعف الوعي بأمان سلسلة التوريد. على الرغم من استخدام مكتبات مفتوحة المصدر وشائعة الاستخدام، إلا أنه لم يتم فهم حدود أمان هذه المكتبات والمخاطر المحتملة بشكل كافٍ أثناء إدارة الأصول الضخمة.
نقص في قيود الإدخال المعقولة. يسمح بإدخال أرقام فلكية غير تقليدية، دون وضع شروط حدودية مناسبة، مما يظهر غياب الوعي بإدارة المخاطر.
مفاهيم خاطئة حول تدقيق الأمان. الاعتماد المفرط على تدقيق الأمان من طرف ثالث، مع تجاهل المسؤولية الذاتية عن أمان النظام.
هذه الحادثة ليست مجرد مشكلة في Cetus، بل تعكس نقاط الضعف الأمنية النظامية التي يعاني منها قطاع التمويل اللامركزي بشكل عام. يعتمد العديد من الفرق بشكل مفرط على التفكير الفني البحت، ويعانون من نقص الوعي بالمخاطر المالية اللازمة.
من أجل تحسين الأمان العام لمشاريع التمويل اللامركزي ، يُنصح باتخاذ التدابير التالية:
مع التطور المستمر لصناعة التمويل اللامركزي، قد تتناقص الأخطاء التقنية البحتة تدريجياً، لكن "أخطاء الوعي" في المنطق التجاري ستصبح تحدياً أكبر. ستحتاج مشاريع التمويل اللامركزي المستقبلية ليس فقط إلى قوة تقنية قوية، ولكن أيضاً إلى فريق لديه فهم عميق لطبيعة العمل وقدرة دقيقة على التحكم. فقط من خلال الدمج العميق بين التقنية والأعمال يمكن الحفاظ على المنافسة والأمان في هذا المجال سريع التطور.