تعرض Cetus لهجوم، وأهمية تدقيق أمان الكود تتضح مرة أخرى
الأسباب والتأثيرات المحددة لهجوم Cetus لا تزال غير واضحة حتى الآن. دعونا نستعرض أولاً حالة تدقيق أمان الشيفرة الخاصة بـ Cetus.
على الرغم من أن المستخدمين العاديين قد يجدون صعوبة في فهم التفاصيل الفنية المحددة، إلا أننا يمكن أن نحصل على فكرة عامة من خلال ملخص التدقيق.
تقرير تدقيق كود Cetus
قائمة GitHub الخاصة بـ Cetus تحتوي على 5 تقارير تدقيق كود، تأتي من MoveBit و OtterSec و Zellic. تركز هذه الوكالات على تدقيق كود لغة Move، وهو أمر بالغ الأهمية لنظم سلاسل الكتل الناشئة مثل Aptos و SUI. نظرًا لأن الهجوم حدث على سلسلة SUI، سوف نركز على تقارير التدقيق المتعلقة بسلسلة SUI.
تقرير تدقيق MoveBit
تم رفع تقرير تدقيق MoveBit إلى GitHub في 28 أبريل 2023. وقد اكتشف التقرير ما مجموعه 18 مشكلة مخاطر، بما في ذلك 1 خطر قاتل، 2 مخاطر رئيسية، 3 مخاطر متوسطة و12 خطر خفيف. ومن الجدير بالذكر أن جميع هذه المشكلات قد تم حلها.
تقرير تدقيق OtterSec
تم رفع تقرير التدقيق الخاص بـ OtterSec في 12 مايو 2023. وجد التقرير مشكلة عالية المخاطر واحدة، ومشكلة متوسطة المخاطر واحدة، وسبع مشكلات معلوماتية. تم حل مشكلات المخاطر العالية والمتوسطة، بينما تم حل اثنتين من المشكلات المعلوماتية، وتم تقديم تصحيحات لاثنتين، ولا تزال ثلاث مشكلات غير محلولة.
تشمل المخاطر المعلوماتية غير المحلولة:
قد يؤثر عدم توافق إصدار كود SUI مع Aptos على دقة حساب أسعار تجمع السيولة.
نقص التحقق من حالة التوقف قد يؤدي إلى إمكانية تداول تجمعات السيولة المعلقة.
قد يحدث تجاوز في تحويل النوع من u256 إلى u64 في المعاملات الكبيرة، مما يؤدي إلى خطأ في الحساب.
تم رفع تقرير تدقيق Zellic في أبريل 2023، حيث تم اكتشاف 3 مخاطر معلوماتية، ولم يتم إصلاحها جميعًا:
مشكلة تفويض، تسمح لأي شخص بإيداع الرسوم في أي حساب شريك.
دالة تم إهمالها ولكن لا تزال تُستدعى، مما تسبب في ازدواجية الشيفرة.
مشكلة عرض واجهة المستخدم في بيانات عرض NFT.
تتعلق هذه الأسئلة بشكل رئيسي بمعايير الشفرة، والمخاطر نسبياً منخفضة.
أهمية تدقيق الشيفرة
التدقيق مهم جدًا لسلامة المشروع. المشاريع التي لم تخضع لتدقيق الكود قد تحمل مخاطر أعلى. ومع ذلك، حتى المشاريع التي تم تدقيقها من قبل عدة مؤسسات، مثل Cetus، قد تتعرض للهجمات. وهذا يوضح أن الاعتماد فقط على تدقيق الكود ليس كافيًا.
اتخذت بعض مشاريع DEX الناشئة تدابير أمنية أكثر شمولاً:
تم إجراء تدقيق كود GMX V2 بواسطة 5 شركات ، وأطلق برنامج مكافآت ثغرات يصل إلى 5 ملايين دولار.
تم إجراء تدقيق كود DeGate من قبل ثلاث شركات، وأطلقت برنامج مكافآت للثغرات يصل إلى 1,110,000 دولار.
تم تدقيق كود DYDX V4 من قبل Informal Systems، ولديه برنامج مكافآت ثغرات يصل إلى 5 ملايين دولار.
قامت Hyperliquid بإجراء تدقيق داخلي للكود، ولديها برنامج مكافآت للثغرات يصل إلى 1,000,000 دولار.
الخاتمة
تجربة Cetus أثبتت مرة أخرى أنه حتى المشاريع التي تم تدقيقها من قبل عدة مؤسسات قد تواجه مخاطر أمنية. بالنسبة لمشاريع DeFi، يمكن أن يضمن التدقيق المتعدد الأطراف بالتزامن مع خطط مكافآت الثغرات أو مسابقات التدقيق أمانًا نسبيًا أفضل. ومع ذلك، لا تزال هناك مشاكل غير مُعالجة في بروتوكولات DeFi الناشئة، وهذا هو السبب في أهمية متابعة حالة تدقيق الشيفرة لهذه البروتوكولات باستمرار.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 16
أعجبني
16
5
إعادة النشر
مشاركة
تعليق
0/400
PermabullPete
· 08-13 11:10
لا، انظر إلى الآخرين، لقد هربوا حتى من المراجعة الثالثة.
تعرضت Cetus للاعتداء، ومن الصعب ضمان الأمان المطلق من خلال تدقيق الشفرات المتعددة.
تعرض Cetus لهجوم، وأهمية تدقيق أمان الكود تتضح مرة أخرى
الأسباب والتأثيرات المحددة لهجوم Cetus لا تزال غير واضحة حتى الآن. دعونا نستعرض أولاً حالة تدقيق أمان الشيفرة الخاصة بـ Cetus.
على الرغم من أن المستخدمين العاديين قد يجدون صعوبة في فهم التفاصيل الفنية المحددة، إلا أننا يمكن أن نحصل على فكرة عامة من خلال ملخص التدقيق.
تقرير تدقيق كود Cetus
قائمة GitHub الخاصة بـ Cetus تحتوي على 5 تقارير تدقيق كود، تأتي من MoveBit و OtterSec و Zellic. تركز هذه الوكالات على تدقيق كود لغة Move، وهو أمر بالغ الأهمية لنظم سلاسل الكتل الناشئة مثل Aptos و SUI. نظرًا لأن الهجوم حدث على سلسلة SUI، سوف نركز على تقارير التدقيق المتعلقة بسلسلة SUI.
تقرير تدقيق MoveBit
تم رفع تقرير تدقيق MoveBit إلى GitHub في 28 أبريل 2023. وقد اكتشف التقرير ما مجموعه 18 مشكلة مخاطر، بما في ذلك 1 خطر قاتل، 2 مخاطر رئيسية، 3 مخاطر متوسطة و12 خطر خفيف. ومن الجدير بالذكر أن جميع هذه المشكلات قد تم حلها.
تقرير تدقيق OtterSec
تم رفع تقرير التدقيق الخاص بـ OtterSec في 12 مايو 2023. وجد التقرير مشكلة عالية المخاطر واحدة، ومشكلة متوسطة المخاطر واحدة، وسبع مشكلات معلوماتية. تم حل مشكلات المخاطر العالية والمتوسطة، بينما تم حل اثنتين من المشكلات المعلوماتية، وتم تقديم تصحيحات لاثنتين، ولا تزال ثلاث مشكلات غير محلولة.
تشمل المخاطر المعلوماتية غير المحلولة:
! SUI Ecosystem DEX #Cetus هل تدقيق أمان الكود كاف حقا عند الهجوم؟
تقرير التدقيق من Zellic
تم رفع تقرير تدقيق Zellic في أبريل 2023، حيث تم اكتشاف 3 مخاطر معلوماتية، ولم يتم إصلاحها جميعًا:
تتعلق هذه الأسئلة بشكل رئيسي بمعايير الشفرة، والمخاطر نسبياً منخفضة.
أهمية تدقيق الشيفرة
التدقيق مهم جدًا لسلامة المشروع. المشاريع التي لم تخضع لتدقيق الكود قد تحمل مخاطر أعلى. ومع ذلك، حتى المشاريع التي تم تدقيقها من قبل عدة مؤسسات، مثل Cetus، قد تتعرض للهجمات. وهذا يوضح أن الاعتماد فقط على تدقيق الكود ليس كافيًا.
اتخذت بعض مشاريع DEX الناشئة تدابير أمنية أكثر شمولاً:
الخاتمة
تجربة Cetus أثبتت مرة أخرى أنه حتى المشاريع التي تم تدقيقها من قبل عدة مؤسسات قد تواجه مخاطر أمنية. بالنسبة لمشاريع DeFi، يمكن أن يضمن التدقيق المتعدد الأطراف بالتزامن مع خطط مكافآت الثغرات أو مسابقات التدقيق أمانًا نسبيًا أفضل. ومع ذلك، لا تزال هناك مشاكل غير مُعالجة في بروتوكولات DeFi الناشئة، وهذا هو السبب في أهمية متابعة حالة تدقيق الشيفرة لهذه البروتوكولات باستمرار.