Cetus fue atacado, lo que resalta nuevamente la importancia de la auditoría de seguridad del código
Las causas y los impactos específicos del ataque a Cetus todavía no son claros. Primero, revisemos la situación de la auditoría de seguridad del código de Cetus.
Aunque los usuarios comunes pueden encontrar difícil entender los detalles técnicos específicos, podemos tener una idea general de la situación a través del resumen de la auditoría.
Informe de auditoría de código de Cetus
En el GitHub de Cetus se enumeran 5 informes de auditoría de código, que provienen de MoveBit, OtterSec y Zellic. Estas agencias de auditoría se centran en la auditoría de código del lenguaje Move, lo cual es crucial para ecosistemas de nuevas cadenas públicas como Aptos y SUI. Dado que este ataque ocurrió en la cadena SUI, nos centraremos en los informes de auditoría relacionados con la cadena SUI.
Informe de auditoría de MoveBit
El informe de auditoría de MoveBit fue subido a GitHub el 28 de abril de 2023. El informe encontró un total de 18 problemas de riesgo, incluidos 1 riesgo crítico, 2 riesgos importantes, 3 riesgos moderados y 12 riesgos menores. Es importante señalar que todos estos problemas han sido resueltos.
Informe de auditoría de OtterSec
El informe de auditoría de OtterSec fue subido el 12 de mayo de 2023. El informe encontró 1 problema de alto riesgo, 1 problema de riesgo moderado y 7 riesgos informativos. Los problemas de alto y moderado riesgo ya han sido resueltos, mientras que de los riesgos informativos, 2 han sido resueltos, 2 han enviado parches de reparación y 3 no han sido resueltos.
Los riesgos informativos no resueltos incluyen:
La versión del código de SUI no coincide con la de Aptos, lo que puede afectar la precisión del cálculo del precio del fondo de liquidez.
Falta la verificación del estado de pausa, lo que puede llevar a que los pools de liquidez suspendidos aún puedan realizar transacciones.
En transacciones de gran volumen, puede ocurrir un desbordamiento de conversión de tipo de u256 a u64, lo que provoca errores de cálculo.
Informe de auditoría de Zellic
El informe de auditoría de Zellic se subió en abril de 2023 y se encontraron 3 riesgos informativos, los cuales no se han corregido:
Un problema de autorización que permite a cualquiera depositar tarifas en cualquier cuenta de socio.
Una función que ha sido descontinuada pero que aún se cita, causando redundancia en el código.
Problemas de presentación de UI en los datos mostrados de NFT.
Estas preguntas se relacionan principalmente con la conformidad del código y tienen un riesgo relativamente bajo.
La importancia de la auditoría de código
La auditoría es crucial para la seguridad del proyecto. Los proyectos que no han sido auditados pueden tener un riesgo más alto. Sin embargo, incluso los proyectos auditados por varias instituciones, como Cetus, pueden ser atacados. Esto demuestra que confiar únicamente en la auditoría de código no es suficiente.
Algunos nuevos proyectos de DEX han adoptado medidas de seguridad más completas:
GMX V2 fue auditado por código por 5 empresas y lanzó un programa de recompensas por errores de hasta 5 millones de dólares.
DeGate ha sido auditado por 3 compañías, y ha lanzado un programa de recompensas por vulnerabilidades de hasta 1,11 millones de dólares.
DYDX V4 fue auditado por Informal Systems y tiene un programa de recompensas por vulnerabilidades de hasta 5 millones de dólares.
Hyperliquid ha llevado a cabo una auditoría interna de código y tiene un programa de recompensas por vulnerabilidades de hasta 1,000,000 dólares.
Conclusión
El encuentro de Cetus vuelve a demostrar que incluso los proyectos auditados por múltiples instituciones pueden enfrentar riesgos de seguridad. Para los proyectos DeFi, la auditoría de múltiples partes, combinada con programas de recompensas por vulnerabilidades o concursos de auditoría, puede garantizar relativamente mejor la seguridad. Sin embargo, aún existen problemas no resueltos en los protocolos DeFi emergentes, lo que es la razón por la que es tan importante seguir de cerca la situación de las auditorías de código de estos protocolos.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
16 me gusta
Recompensa
16
5
Republicar
Compartir
Comentar
0/400
PermabullPete
· hace11h
No, mira, ellos se han escapado después de la tercera revisión.
Cetus fue atacado, múltiples auditorías de código no garantizan una seguridad absoluta.
Cetus fue atacado, lo que resalta nuevamente la importancia de la auditoría de seguridad del código
Las causas y los impactos específicos del ataque a Cetus todavía no son claros. Primero, revisemos la situación de la auditoría de seguridad del código de Cetus.
Aunque los usuarios comunes pueden encontrar difícil entender los detalles técnicos específicos, podemos tener una idea general de la situación a través del resumen de la auditoría.
Informe de auditoría de código de Cetus
En el GitHub de Cetus se enumeran 5 informes de auditoría de código, que provienen de MoveBit, OtterSec y Zellic. Estas agencias de auditoría se centran en la auditoría de código del lenguaje Move, lo cual es crucial para ecosistemas de nuevas cadenas públicas como Aptos y SUI. Dado que este ataque ocurrió en la cadena SUI, nos centraremos en los informes de auditoría relacionados con la cadena SUI.
Informe de auditoría de MoveBit
El informe de auditoría de MoveBit fue subido a GitHub el 28 de abril de 2023. El informe encontró un total de 18 problemas de riesgo, incluidos 1 riesgo crítico, 2 riesgos importantes, 3 riesgos moderados y 12 riesgos menores. Es importante señalar que todos estos problemas han sido resueltos.
Informe de auditoría de OtterSec
El informe de auditoría de OtterSec fue subido el 12 de mayo de 2023. El informe encontró 1 problema de alto riesgo, 1 problema de riesgo moderado y 7 riesgos informativos. Los problemas de alto y moderado riesgo ya han sido resueltos, mientras que de los riesgos informativos, 2 han sido resueltos, 2 han enviado parches de reparación y 3 no han sido resueltos.
Los riesgos informativos no resueltos incluyen:
Informe de auditoría de Zellic
El informe de auditoría de Zellic se subió en abril de 2023 y se encontraron 3 riesgos informativos, los cuales no se han corregido:
Estas preguntas se relacionan principalmente con la conformidad del código y tienen un riesgo relativamente bajo.
La importancia de la auditoría de código
La auditoría es crucial para la seguridad del proyecto. Los proyectos que no han sido auditados pueden tener un riesgo más alto. Sin embargo, incluso los proyectos auditados por varias instituciones, como Cetus, pueden ser atacados. Esto demuestra que confiar únicamente en la auditoría de código no es suficiente.
Algunos nuevos proyectos de DEX han adoptado medidas de seguridad más completas:
Conclusión
El encuentro de Cetus vuelve a demostrar que incluso los proyectos auditados por múltiples instituciones pueden enfrentar riesgos de seguridad. Para los proyectos DeFi, la auditoría de múltiples partes, combinada con programas de recompensas por vulnerabilidades o concursos de auditoría, puede garantizar relativamente mejor la seguridad. Sin embargo, aún existen problemas no resueltos en los protocolos DeFi emergentes, lo que es la razón por la que es tan importante seguir de cerca la situación de las auditorías de código de estos protocolos.