今日运势评分

-4

本月运势

戊子月

震荡偏多

辛生水，酉金生水

辛不合酱主人不尝
酉不会客醉坐颠狂

宜

祭祀,开光,理发,整手足甲,安床,作灶,扫舍,教牛马

忌

伐木,纳畜,破土,安葬,开生坟,嫁娶,开市,动土,交易,作梁

月相

晓

底部反弹

日冲

ONDO0.38 0.03%

TRUMP5.13 1.64%

SUI1.43 2.38%

TON1.45 -0.89%

TRX0.28 0.90%

DOGE0.13 2.48%

XRP1.87 1.38%

SOL124.28 1.43%

BNB843.56 1.26%

ETH2951.92 4.05%

BTC87906.87 1.40%

ETH Gas0.36 Gwei

极恐

首页 深潮精选 Research 项目发现 7x24h︎快讯 最新活动

Cetus 安全问题启示：DeFi 团队要注意些什么？

2025.05.28 - 205 天前

从 Cetus 开始，所有的 DeFi 团队都应该改掉纯技术思维的局限性，真正培养起「金融工程师」的安全风险意识。

撰文：Haotian

读完 @CetusProtocol 的黑客攻击安全「复盘」报告，你会发现一个「耐人寻味」的现象：技术细节披露得相当透明，应急响应也堪称教科书级别，但在最关键的「为什么会被黑」这个灵魂拷问上，却显得避重就轻：

报告用大量篇幅解释`integer-mate`库的`checked_shlw`函数检查错误（应该≤2^192，实际≤2^256），并将此定性为「语义误解」。这种叙述虽然在技术上成立，但巧妙地将焦点引向了外部责任，仿佛 Cetus 也是这个技术缺陷的无辜受害者。

问题来了，既然`integer-mate`是一个开源且广泛应用的数学库，偏偏在你这发生了 1 个 token 便可获得天价流动性份额的荒谬错误？

分析黑客攻击路径会发现，黑客要实现完美攻击必须同时满足四个条件：错误的溢出检查、大幅位移运算、向上取整规则、缺乏经济合理性验证。

Cetus 恰恰在每一个「触发」条件上都「疏忽大意」了，比如：接受用户输入 2^200 这样的天文数字，采用极度危险的大幅位移运算，完全信任外部库的检查机制，最致命的是——当系统计算出「1 个 token 换天价份额」这种荒谬结果时，竟然没有任何经济常识检查就直接执行了。

所以，Cetus 真正应该反思的点如下：

1）为什么采用通用外部库没做好安全测试？虽说`integer-mate`库有开源、流行、广泛使用等特性，Cetus 用它来管理上亿美元的资产却没有充分了解这个库的安全边界在哪里，如果库作用失效有没有合适的备选方案等等。显然，Cetus 缺乏最基础的供应链安全防护意识；

2）为什么会允许输入天文数字而不设边界？虽说 DeFi 协议应寻求去中心化，但一个成熟的金融系统越是开放却越是需要明确的边界。

当系统允许输入攻击者精心构造的天文数字时，团队显然没思考过，这样的流动性需求合理吗？即使是全球最大的对冲基金，也不可能需要如此夸张的流动性份额。显然，Cetus 团队缺乏具备金融直觉的风险管理人才；

3）为什么经过多轮安全审计却依然没预先发现问题？这句话无意中暴露了一个致命的认知误区：项目方将安全责任外包给安全公司，把审计当成了免责金牌。但现实很残酷：安全审计工程师擅长发现代码 Bug，谁会想到去测试系统算出天方夜谭般的交换比例时可能不对劲？

这种跨数学、密码学、经济学的边界验证，正是现代 DeFi 安全的最大盲区。审计公司会说「这是经济模型设计缺陷，不是代码逻辑问题」；项目方则抱怨「审计没发现问题」；而用户只知道自己的钱没了！

你看，这归根结底暴露的是 DeFi 行业的系统性安全短板：纯技术背景的团队严重缺乏基本的「金融风险嗅觉」。

而从 Cetus 这份报告来看，团队显然并没有反思到位。

比起单纯针对此次黑客攻击上的技术性缺陷不足，我觉得从 Cetus 开始，所有的 DeFi 团队都应该改掉纯技术思维的局限性，真正培养起「金融工程师」的安全风险意识。

比如：引入金融风控专家，补足技术团队的知识盲区；进行多方审计审查机制，不仅看代码审计，必要的经济模型审计也得补上；培养「金融嗅觉」，模拟各种攻击场景和相应应对措施，对异常的操作时刻保持敏感等等。

这让我想起之前安全公司的从业经验，包括行业安全大佬们 @evilcos、@chiachih_wu、@yajinzhou、@mikelee205 们交流也有这样的共识：

随着行业的日趋成熟，代码层面的技术 Bug 问题会日趋减少，而边界不清、职责模糊的业务逻辑「意识 Bug」才是最大的挑战。

审计公司只能确保代码无 Bug，但如何才能做到「逻辑有边界」需要项目团队对业务本质有更深度理解和边界把控能力。（之前很多安全审计后依然遭黑客攻击的「甩锅事件」根本原因都在于此）

DeFi 的未来，属于那些代码技术过硬，同时业务逻辑理解又深刻的团队！

欢迎加入深潮TechFlow官方社群

Telegram订阅群：https://t.me/TechFlowDaily
Twitter官方账号：https://x.com/TechFlowPost
Twitter英文账号：https://x.com/BlockFlow_News

原文链接

添加收藏

分享社交媒体

作者

HaotianHaotian | CryptoInsight

相关文章

2025.12.18 - 23 小时前

Bitfinex 推出零手续费交易，依托长期盈利能力加速全球加密资产普及

Bitfinex 用户现可零手续费交易多种数字资产，助力构建更加包容、高效的金融体系。

Bitfinex

2025.12.18 - 昨天

与 Yooldo 一起释放 X402：革新 Web3 游戏体验

Yooldo 是一个跨链 Web3 游戏平台，通过类似 CEX的界面简化入门，同时实现基于 NFT 和代币资产的真实数字所有权。

Yooldo

2025.12.18 - 昨天

Ondo 与 LayerZero 联合推出代币化股票和 ETF 跨链桥

Ondo Bridge已在以太坊和BNB链上上线，未来还将支持其他EVM链。它是最大的代币化证券桥，支持100多种股票和ETF。

Ondo Finance LayerZero 代币化股票

2025.12.17 - 前天

Space 回顾｜“生态合成”成为新引擎：解码超越赛道轮动的价值创造模型

当市场在宏观迷雾中争夺叙事时，波场TRON生态已通过其“正向飞轮”，为2025年的价值增长提供了清晰的路径。

TRON

2025.12.16 - 3 天前

WEEX完成200万美元WXT回购，回馈用户对「合约挖矿」的支持

作为 WEEX 生态系统的核心，WXT 致力于激励交易所社区的合作伙伴、贡献者以及活跃用户。

WEEX WXT

2025.12.16 - 3 天前

BitsLab 旗下 MoveBit 研究发布｜Belobog：面向真实攻击的 Move 模糊测试框架

MoveBit 是一家专注于 Move 生态的区块链安全公司，通过率先使用形式化验证使 Move 生态成为最安全的 Web3 生态系统。

BitsLab

2025.12.15 - 4 天前

Aster 推出 Shield Mode：为链上交易者打造的高性能交易保护模式

该交易功能作为全新的保护模式，致力于将完整的 1001 倍杠杆交易体验融入更快速、安全、灵活的链上交易环境。

Aster Shield Mode

2025.12.16 - 3 天前

SCOR 携手陈冠希推出“The 888 Continuum”

一项分阶段的链上活动，通过游戏内“超级能力”解锁独家 CLOT 球鞋发售、装备及数字藏品。

SCOR

2025.12.15 - 4 天前

Vision 宣布 Bitget 已上架 VSN 代币，继续国际扩张

Vision Web3基金会成立于2025年，是一个独立组织，负责治理和开发Vision (VSN)代币及其周边生态系统。

Vision

2025.12.12 - 7 天前

Axe Compute [NASDAQ：AGPU] 完成企业重组（原POAI），企业级去中心化 GPU 算力 Aethir 正式进入主流市场

Predictive Oncology 更名为 Axe Compute (AGPU)，成为纳斯达克首家去中心化 GPU 基础设施上市公司，通过 Aethir 网络为 AI 企业提供算力服务，旨在解决行业算力瓶颈问题。

美国纳斯达克 AI 基础设施

7x24h 快讯︎更多

12月19日 16:05: 某新钱包从币安和 Bybit 提取总价值约 1576 万美元的 ETH、BNB、USDT

12月19日 16:03: Binance Alpha：拥有至少 233 积分的用户可申领 200 枚 ZKP 代币的空投

12月19日 16:02: Monad 生态首个 PancakeSwap Launchpad 项目 LeverUp 超募 678 倍，认购金额达 6,100 万美元

12月19日 15:41: 某鲸鱼 24 小时内购买 4,599 枚 ETH，同时增加了其 ETH 空单

12月19日 15:17: Metaplanet 宣布推出美国存托凭证项目 MPJPY，12 月 19 日生效

12月19日 15:15: Hotcoin 将于 12 月 19 日上线热门项目 LISA、VOOI、RTX和 HLS

12月19日 15:11: BTC 突破 88,000 美元，24 小时涨幅 1.50 %

12月19日 15:06: 日本央行行长：若工资上涨向物价传导，则可能加息

深潮精选更多

: 飞向 1.5 万亿美元 IPO 前，马斯克差点失去一切
2025.12.19

: 日本央行声明全文：加息 25 个基点，后续考虑继续调整
2025.12.19

: 加密早报：通胀数据向好，Uniswap 拟销毁 1 亿枚 UNI 代币并启用费用开关
2025.12.19