今日运势评分

本月运势

丙戌月

震荡偏多

劫财夺财，卯冲酉

己不破券二比并亡
卯不穿井水泉不香

宜

嫁娶,纳采,订盟,祭祀,祈福,求嗣,斋醮,开光,安香,出火,造庙,移徙,出行,入宅,起基,竖柱,上梁,安床,纳畜,捕捉,纳婿,安葬

忌

开市,破土,掘井,合寿木

月相

立待

底部反弹

日冲

ONDO0.60 -2.98%

TRUMP7.75 -2.89%

SUI1.98 -2.36%

TON1.94 -0.58%

TRX0.28 -1.82%

DOGE0.16 -2.84%

XRP2.22 -5.15%

SOL156.01 -3.47%

BNB952.51 -0.13%

ETH3319.34 -2.90%

BTC101158.64 -2.13%

ETH Gas0.36 Gwei

恐惧

首页 深潮精选 Research 项目发现 7x24h︎快讯 最新活动

Cetus 安全问题启示：DeFi 团队要注意些什么？

2025.05.28 - 163 天前

从 Cetus 开始，所有的 DeFi 团队都应该改掉纯技术思维的局限性，真正培养起「金融工程师」的安全风险意识。

撰文：Haotian

读完 @CetusProtocol 的黑客攻击安全「复盘」报告，你会发现一个「耐人寻味」的现象：技术细节披露得相当透明，应急响应也堪称教科书级别，但在最关键的「为什么会被黑」这个灵魂拷问上，却显得避重就轻：

报告用大量篇幅解释`integer-mate`库的`checked_shlw`函数检查错误（应该≤2^192，实际≤2^256），并将此定性为「语义误解」。这种叙述虽然在技术上成立，但巧妙地将焦点引向了外部责任，仿佛 Cetus 也是这个技术缺陷的无辜受害者。

问题来了，既然`integer-mate`是一个开源且广泛应用的数学库，偏偏在你这发生了 1 个 token 便可获得天价流动性份额的荒谬错误？

分析黑客攻击路径会发现，黑客要实现完美攻击必须同时满足四个条件：错误的溢出检查、大幅位移运算、向上取整规则、缺乏经济合理性验证。

Cetus 恰恰在每一个「触发」条件上都「疏忽大意」了，比如：接受用户输入 2^200 这样的天文数字，采用极度危险的大幅位移运算，完全信任外部库的检查机制，最致命的是——当系统计算出「1 个 token 换天价份额」这种荒谬结果时，竟然没有任何经济常识检查就直接执行了。

所以，Cetus 真正应该反思的点如下：

1）为什么采用通用外部库没做好安全测试？虽说`integer-mate`库有开源、流行、广泛使用等特性，Cetus 用它来管理上亿美元的资产却没有充分了解这个库的安全边界在哪里，如果库作用失效有没有合适的备选方案等等。显然，Cetus 缺乏最基础的供应链安全防护意识；

2）为什么会允许输入天文数字而不设边界？虽说 DeFi 协议应寻求去中心化，但一个成熟的金融系统越是开放却越是需要明确的边界。

当系统允许输入攻击者精心构造的天文数字时，团队显然没思考过，这样的流动性需求合理吗？即使是全球最大的对冲基金，也不可能需要如此夸张的流动性份额。显然，Cetus 团队缺乏具备金融直觉的风险管理人才；

3）为什么经过多轮安全审计却依然没预先发现问题？这句话无意中暴露了一个致命的认知误区：项目方将安全责任外包给安全公司，把审计当成了免责金牌。但现实很残酷：安全审计工程师擅长发现代码 Bug，谁会想到去测试系统算出天方夜谭般的交换比例时可能不对劲？

这种跨数学、密码学、经济学的边界验证，正是现代 DeFi 安全的最大盲区。审计公司会说「这是经济模型设计缺陷，不是代码逻辑问题」；项目方则抱怨「审计没发现问题」；而用户只知道自己的钱没了！

你看，这归根结底暴露的是 DeFi 行业的系统性安全短板：纯技术背景的团队严重缺乏基本的「金融风险嗅觉」。

而从 Cetus 这份报告来看，团队显然并没有反思到位。

比起单纯针对此次黑客攻击上的技术性缺陷不足，我觉得从 Cetus 开始，所有的 DeFi 团队都应该改掉纯技术思维的局限性，真正培养起「金融工程师」的安全风险意识。

比如：引入金融风控专家，补足技术团队的知识盲区；进行多方审计审查机制，不仅看代码审计，必要的经济模型审计也得补上；培养「金融嗅觉」，模拟各种攻击场景和相应应对措施，对异常的操作时刻保持敏感等等。

这让我想起之前安全公司的从业经验，包括行业安全大佬们 @evilcos、@chiachih_wu、@yajinzhou、@mikelee205 们交流也有这样的共识：

随着行业的日趋成熟，代码层面的技术 Bug 问题会日趋减少，而边界不清、职责模糊的业务逻辑「意识 Bug」才是最大的挑战。

审计公司只能确保代码无 Bug，但如何才能做到「逻辑有边界」需要项目团队对业务本质有更深度理解和边界把控能力。（之前很多安全审计后依然遭黑客攻击的「甩锅事件」根本原因都在于此）

DeFi 的未来，属于那些代码技术过硬，同时业务逻辑理解又深刻的团队！

欢迎加入深潮TechFlow官方社群

Telegram订阅群：https://t.me/TechFlowDaily
Twitter官方账号：https://x.com/TechFlowPost
Twitter英文账号：https://x.com/BlockFlow_News

原文链接

添加收藏

分享社交媒体

作者

HaotianHaotian | CryptoInsight

相关文章

2025.11.06 - 10 小时前

波场TRON生态：稳定币收益与公链代币增值的双重标杆，开启链上收益倍增新时代

稳定币生态筑底叠加DeFi基建赋能，波场TRON助力加密资产稳健增值穿越波动周期

TRON

2025.11.06 - 20 小时前

Web3 IP 金融化与文化生产的新范式：City Protocol 全周期赋能 Mocaverse

City Protocol 的赋能不仅是技术层面的，更是战略性的风险对冲，帮助 Mocaverse 从短期炒作转向长期价值积累。

City Protocol Mocaverse IP

2025.11.05 - 前天

Space 回顾｜告别“叙事即风口”时代，波场 TRON 以真实收益重塑市场信心

当加密市场从“听故事”转向“看兑现”，波场TRON通过稳固的生态基础与价值循环，展示了可行的路径。

TRON

2025.11.05 - 前天

水产公司 Nocera 获 3 亿美元私募融资，用于支持数位资产战略与策略收购

根据融资协议，每次交割的净收益将被分配至美元挂钩的数字资产（如稳定币），由美国机构托管人持有。

Nocera

2025.11.05 - 前天

Bitget 每日早报｜BTC跌破10万美元市场恐慌，Chainlink大会聚焦传统金融与DeFi融合"

Perp DEX 10月交易量达1.75万亿美元。

Bitget

2025.11.04 - 3 天前

Balancer 被盗的蝴蝶效应，为什么 $XUSD 会脱锚？

围绕杠杆、预言机构建和 PoR 透明度的长期问题再次浮出水面。

Balancer

2025.11.04 - 3 天前

附直播链接：Chainlink 年度旗舰盛会 SmartCon 2025 将于 11 月 4 日在纽约拉开序幕

本次SmartCon延续传统金融与DeFi融合的主题，将政府、金融机构和领先的Web3项目汇聚一堂，共同探讨区块链技术如何正在重塑市场、公共服务和全球经济。

Chainlink

2025.11.03 - 3 天前

GMPayer：面向 AI Agents 的跨链 x402 支付枢纽

LazAI与ZKM， Metis和GOAT Network合作，推出GMPayer，这是一种基于x402的支付协议，用于跨链AI支付，无需中介。

GMPayer AI Agents x402

2025.11.03 - 3 天前

回顾 Warplet：一个小 NFT，如何引爆 Farcaster 热潮？

一个梗、一款迷你应用和几次点击，Farcaster社区就拥有了一个全新的共同故事。

Warplet NFT Farcaster

2025.11.03 - 3 天前

5 年 6 次事故损失破亿，老牌 DeFi 协议 Balancer 黑客光顾史

对于旁观者，DeFi 是一场新奇的社会实验；对于参与者，DeFi 被盗是一次昂贵的教训。

原创 Balancer DeFi

7x24h 快讯︎更多

11月06日 23:55: 某鲸鱼从 Aave 提取 1.149 亿 USDT，推高 Aave 主市场的 USDT 利用率至 92.83%

11月06日 23:53: 今日加密货币市值前100代币涨跌：ICP 涨 28.29%，ZK 跌 15.54%

11月06日 23:50: 分析：MEV Capital 和 Re7 Labs 在 Lista DAO 平台管理的资金池利用率达99%，已触发强制清算

11月06日 23:45: ETH 跌破 3,300 美元，24 小时跌幅 2.44 %

11月06日 23:39: Circle 就 GENIUS 法案实施向美国财政部提交意见书，建议建立统一稳定币监管框架

11月06日 23:26: Bitget 已上线 U 本位 STABLE 盘前合约

11月06日 23:19: 过去 24 小时全网爆仓 3.48 亿美元，多空双爆

11月06日 23:15: USDC Treasury 在以太坊链上新增铸造 5000 万枚 USDC

深潮精选更多

: Ray Dalio 最新发文：这次不一样，美联储正在刺激泡沫
2025.11.06

: 在链上买黄金，为什么你总是会多付钱？
2025.11.06

: 泼盆冷水，大多数 DAT 公司将迎来末日
2025.11.06