今日运势评分

-6

本月运势

戊子月

震荡偏多

劫财夺财，未害子

己不破券二比并亡
未不服药毒气入肠

宜

安床,祭祀,祈福,求嗣,冠笄,伐木,架马,动土,开池,开厕,结网,入殓,除服,成服

忌

安门,栽种,作灶,治病

月相

蛾眉残

底部反弹

日冲

ONDO0.41 1.55%

TRUMP5.25 -0.15%

SUI1.48 1.40%

TON1.55 3.76%

TRX0.28 0.37%

DOGE0.13 1.54%

XRP1.92 2.32%

SOL127.85 1.38%

BNB858.35 0.50%

ETH2930.06 0.25%

BTC86591.99 0.76%

ETH Gas0.36 Gwei

极恐

首页 深潮精选 Research 项目发现 7x24h︎快讯 最新活动

Cetus 安全问题启示：DeFi 团队要注意些什么？

2025.05.28 - 203 天前

从 Cetus 开始，所有的 DeFi 团队都应该改掉纯技术思维的局限性，真正培养起「金融工程师」的安全风险意识。

撰文：Haotian

读完 @CetusProtocol 的黑客攻击安全「复盘」报告，你会发现一个「耐人寻味」的现象：技术细节披露得相当透明，应急响应也堪称教科书级别，但在最关键的「为什么会被黑」这个灵魂拷问上，却显得避重就轻：

报告用大量篇幅解释`integer-mate`库的`checked_shlw`函数检查错误（应该≤2^192，实际≤2^256），并将此定性为「语义误解」。这种叙述虽然在技术上成立，但巧妙地将焦点引向了外部责任，仿佛 Cetus 也是这个技术缺陷的无辜受害者。

问题来了，既然`integer-mate`是一个开源且广泛应用的数学库，偏偏在你这发生了 1 个 token 便可获得天价流动性份额的荒谬错误？

分析黑客攻击路径会发现，黑客要实现完美攻击必须同时满足四个条件：错误的溢出检查、大幅位移运算、向上取整规则、缺乏经济合理性验证。

Cetus 恰恰在每一个「触发」条件上都「疏忽大意」了，比如：接受用户输入 2^200 这样的天文数字，采用极度危险的大幅位移运算，完全信任外部库的检查机制，最致命的是——当系统计算出「1 个 token 换天价份额」这种荒谬结果时，竟然没有任何经济常识检查就直接执行了。

所以，Cetus 真正应该反思的点如下：

1）为什么采用通用外部库没做好安全测试？虽说`integer-mate`库有开源、流行、广泛使用等特性，Cetus 用它来管理上亿美元的资产却没有充分了解这个库的安全边界在哪里，如果库作用失效有没有合适的备选方案等等。显然，Cetus 缺乏最基础的供应链安全防护意识；

2）为什么会允许输入天文数字而不设边界？虽说 DeFi 协议应寻求去中心化，但一个成熟的金融系统越是开放却越是需要明确的边界。

当系统允许输入攻击者精心构造的天文数字时，团队显然没思考过，这样的流动性需求合理吗？即使是全球最大的对冲基金，也不可能需要如此夸张的流动性份额。显然，Cetus 团队缺乏具备金融直觉的风险管理人才；

3）为什么经过多轮安全审计却依然没预先发现问题？这句话无意中暴露了一个致命的认知误区：项目方将安全责任外包给安全公司，把审计当成了免责金牌。但现实很残酷：安全审计工程师擅长发现代码 Bug，谁会想到去测试系统算出天方夜谭般的交换比例时可能不对劲？

这种跨数学、密码学、经济学的边界验证，正是现代 DeFi 安全的最大盲区。审计公司会说「这是经济模型设计缺陷，不是代码逻辑问题」；项目方则抱怨「审计没发现问题」；而用户只知道自己的钱没了！

你看，这归根结底暴露的是 DeFi 行业的系统性安全短板：纯技术背景的团队严重缺乏基本的「金融风险嗅觉」。

而从 Cetus 这份报告来看，团队显然并没有反思到位。

比起单纯针对此次黑客攻击上的技术性缺陷不足，我觉得从 Cetus 开始，所有的 DeFi 团队都应该改掉纯技术思维的局限性，真正培养起「金融工程师」的安全风险意识。

比如：引入金融风控专家，补足技术团队的知识盲区；进行多方审计审查机制，不仅看代码审计，必要的经济模型审计也得补上；培养「金融嗅觉」，模拟各种攻击场景和相应应对措施，对异常的操作时刻保持敏感等等。

这让我想起之前安全公司的从业经验，包括行业安全大佬们 @evilcos、@chiachih_wu、@yajinzhou、@mikelee205 们交流也有这样的共识：

随着行业的日趋成熟，代码层面的技术 Bug 问题会日趋减少，而边界不清、职责模糊的业务逻辑「意识 Bug」才是最大的挑战。

审计公司只能确保代码无 Bug，但如何才能做到「逻辑有边界」需要项目团队对业务本质有更深度理解和边界把控能力。（之前很多安全审计后依然遭黑客攻击的「甩锅事件」根本原因都在于此）

DeFi 的未来，属于那些代码技术过硬，同时业务逻辑理解又深刻的团队！

欢迎加入深潮TechFlow官方社群

Telegram订阅群：https://t.me/TechFlowDaily
Twitter官方账号：https://x.com/TechFlowPost
Twitter英文账号：https://x.com/BlockFlow_News

原文链接

添加收藏

分享社交媒体

作者

HaotianHaotian | CryptoInsight

相关文章

2025.12.16 - 16 小时前

WEEX完成200万美元WXT回购，回馈用户对「合约挖矿」的支持

作为 WEEX 生态系统的核心，WXT 致力于激励交易所社区的合作伙伴、贡献者以及活跃用户。

WEEX WXT

2025.12.16 - 21 小时前

BitsLab 旗下 MoveBit 研究发布｜Belobog：面向真实攻击的 Move 模糊测试框架

MoveBit 是一家专注于 Move 生态的区块链安全公司，通过率先使用形式化验证使 Move 生态成为最安全的 Web3 生态系统。

BitsLab

2025.12.15 - 前天

Aster 推出 Shield Mode：为链上交易者打造的高性能交易保护模式

该交易功能作为全新的保护模式，致力于将完整的 1001 倍杠杆交易体验融入更快速、安全、灵活的链上交易环境。

Aster Shield Mode

2025.12.16 - 昨天

SCOR 携手陈冠希推出“The 888 Continuum”

一项分阶段的链上活动，通过游戏内“超级能力”解锁独家 CLOT 球鞋发售、装备及数字藏品。

SCOR

2025.12.15 - 前天

Vision 宣布 Bitget 已上架 VSN 代币，继续国际扩张

Vision Web3基金会成立于2025年，是一个独立组织，负责治理和开发Vision (VSN)代币及其周边生态系统。

Vision

2025.12.12 - 5 天前

Axe Compute [NASDAQ：AGPU] 完成企业重组（原POAI），企业级去中心化 GPU 算力 Aethir 正式进入主流市场

Predictive Oncology 更名为 Axe Compute (AGPU)，成为纳斯达克首家去中心化 GPU 基础设施上市公司，通过 Aethir 网络为 AI 企业提供算力服务，旨在解决行业算力瓶颈问题。

美国纳斯达克 AI 基础设施

2025.12.12 - 5 天前

x402 V2 发布：当 AI Agent 开始拥有“信用卡”，哪些项目将被重估？

静水流深，重拾 402 叙事的草蛇灰线。

原创 AI Agent x402

2025.12.12 - 5 天前

摩根大通倒戈华尔街：囤积白银，卡位黄金，做空美元信用

摩根大通左手在西方锁死实物的流动性，制造恐慌；右手在东方筑好避风的蓄水池，坐收红利。

摩根大通黄金美元

2025.12.11 - 6 天前

力说｜1011两月忌

在这个市场，散户的命，不是命。是流动性的无私贡献者。

爆仓

2025.12.11 - 6 天前

火币HTX合约跟单4.0重磅上线：三重福利同步开启，参与瓜分80,000 USDT奖池

火币HTX推出合约跟单4.0版本，引入智能跟单和资金隔离功能，并同步开启三重活动，总奖池高达80,000 USDT，旨在为用户提供更智能、高效、安全的交易体验。

HTX

7x24h 快讯︎更多

12月17日 12:47: 现货白银首次突破66美元

12月17日 12:40: 昨日以太坊现货ETF净流出达2.2366亿美元

12月17日 12:08: 昨日比特币ETF净流出达2.77亿美元

12月17日 12:07: 币安将于12月17日进行系统升级及UTF-8编码测试，不影响正常交易

12月17日 11:56: 腾讯云与泰国Bitkub建立数字资产战略合作

12月17日 11:50: 以太坊财库公司ETHZilla将于2026年初上线首个RWA代币

12月17日 11:42: Bitget 推出第 7 期 VIP 晋升活动，合约交易解锁 70,000 USDT

12月17日 11:33: 慢雾团队：ICRYPEX Global 存在一个潜在严重漏洞

深潮精选更多

: 我高中辍学，跟 AI 学习，逆袭成为 OpenAI 研究员
2025.12.17

: 加密早报：美国失业率走高，Aether Games 宣布关闭
2025.12.17

: 经济学人：加密货币对传统银行的真正威胁
2025.12.16