Cetus a été attaqué, l'importance de l'audit de sécurité du code est à nouveau mise en évidence
Les raisons et les impacts spécifiques de l'attaque sur Cetus ne sont pas encore clairs. Examinons d'abord la situation de l'audit de sécurité du code de Cetus.
Bien que les utilisateurs ordinaires puissent avoir du mal à comprendre les détails techniques spécifiques, nous pouvons avoir une idée générale de la situation grâce au résumé de l'audit.
Rapport d'audit de code de Cetus
Cinq rapports d'audit de code sont listés sur le GitHub de Cetus, provenant respectivement de MoveBit, OtterSec et Zellic. Ces agences d'audit se concentrent toutes sur l'audit de code en Move, ce qui est crucial pour les écosystèmes de chaînes de blocs émergents comme Aptos et SUI. Étant donné que cette attaque s'est produite sur la chaîne SUI, nous nous concentrerons sur les rapports d'audit liés à la chaîne SUI.
Rapport d'audit de MoveBit
Le rapport d'audit de MoveBit a été téléchargé sur GitHub le 28 avril 2023. Ce rapport a identifié 18 problèmes de risque, dont 1 risque critique, 2 risques majeurs, 3 risques modérés et 12 risques mineurs. Il est à noter que tous ces problèmes ont été résolus.
Rapport d'audit d'OtterSec
Le rapport d'audit d'OtterSec a été téléchargé le 12 mai 2023. Ce rapport a révélé un problème à haut risque, un problème à risque modéré et sept risques informatifs. Les problèmes à haut risque et à risque modéré ont été résolus, tandis que parmi les risques informatifs, deux ont été résolus, deux ont soumis des correctifs, et trois restent non résolus.
Les risques informationnels non résolus comprennent :
Le code de version de SUI et Aptos n'est pas cohérent, ce qui peut affecter la précision du calcul des prix des pools de liquidité.
Absence de vérification de l'état de pause, ce qui peut entraîner le fait que des pools de liquidité suspendus peuvent toujours effectuer des transactions.
Dans les transactions importantes, il peut y avoir un débordement de conversion de type de u256 à u64, ce qui entraîne des erreurs de calcul.
Rapport d'audit de Zellic
Le rapport d'audit de Zellic a été téléchargé en avril 2023, et a révélé 3 risques d'information, qui n'ont pas été corrigés :
Une question d'autorisation permettant à quiconque de déposer des frais sur n'importe quel compte partenaire.
Une fonction obsolète mais toujours référencée, entraînant une redondance de code.
Problèmes d'affichage de l'UI dans les données affichées par les NFT.
Ces questions concernent principalement la conformité du code, avec un risque relativement faible.
L'importance de l'audit de code
L'audit est essentiel pour la sécurité des projets. Les projets qui n'ont pas été audités peuvent présenter des risques élevés. Cependant, même les projets audités par plusieurs organismes, comme Cetus, peuvent subir des attaques. Cela montre qu'il ne suffit pas de se fier uniquement à l'audit de code.
Certains nouveaux projets DEX ont adopté des mesures de sécurité plus complètes :
GMX V2 a été audité par 5 entreprises et a lancé un programme de récompense pour les bugs allant jusqu'à 5 millions de dollars.
DeGate a été audité par 3 entreprises et a lancé un programme de récompenses pour les bugs pouvant atteindre 1,11 million de dollars.
DYDX V4 a été audité par Informal Systems, avec un programme de récompense pour les bogues allant jusqu'à 5 millions de dollars.
Hyperliquid a réalisé un audit de code interne et propose un programme de récompense pour les bugs allant jusqu'à 1 million de dollars.
Conclusion
L'incident de Cetus prouve une fois de plus que même les projets ayant fait l'objet d'audits par plusieurs organismes peuvent être confrontés à des risques de sécurité. Pour les projets DeFi, une combinaison d'audits par plusieurs parties avec des programmes de primes de vulnérabilité ou des concours d'audit peut assurer une meilleure sécurité. Cependant, des problèmes non résolus persistent dans les protocoles DeFi émergents, ce qui explique l'importance de suivre continuellement l'état des audits de code de ces protocoles.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
16 J'aime
Récompense
16
5
Reposter
Partager
Commentaire
0/400
PermabullPete
· 08-13 11:10
Ne fais pas ça, regarde, ils ont tous fui après la troisième audition.
Voir l'originalRépondre0
GateUser-4745f9ce
· 08-12 14:10
Il s'avère que j'ai en effet fait une audience pour rien.
Cetus attaqué : plusieurs audits de code ne garantissent pas une sécurité absolue
Cetus a été attaqué, l'importance de l'audit de sécurité du code est à nouveau mise en évidence
Les raisons et les impacts spécifiques de l'attaque sur Cetus ne sont pas encore clairs. Examinons d'abord la situation de l'audit de sécurité du code de Cetus.
Bien que les utilisateurs ordinaires puissent avoir du mal à comprendre les détails techniques spécifiques, nous pouvons avoir une idée générale de la situation grâce au résumé de l'audit.
Rapport d'audit de code de Cetus
Cinq rapports d'audit de code sont listés sur le GitHub de Cetus, provenant respectivement de MoveBit, OtterSec et Zellic. Ces agences d'audit se concentrent toutes sur l'audit de code en Move, ce qui est crucial pour les écosystèmes de chaînes de blocs émergents comme Aptos et SUI. Étant donné que cette attaque s'est produite sur la chaîne SUI, nous nous concentrerons sur les rapports d'audit liés à la chaîne SUI.
Rapport d'audit de MoveBit
Le rapport d'audit de MoveBit a été téléchargé sur GitHub le 28 avril 2023. Ce rapport a identifié 18 problèmes de risque, dont 1 risque critique, 2 risques majeurs, 3 risques modérés et 12 risques mineurs. Il est à noter que tous ces problèmes ont été résolus.
Rapport d'audit d'OtterSec
Le rapport d'audit d'OtterSec a été téléchargé le 12 mai 2023. Ce rapport a révélé un problème à haut risque, un problème à risque modéré et sept risques informatifs. Les problèmes à haut risque et à risque modéré ont été résolus, tandis que parmi les risques informatifs, deux ont été résolus, deux ont soumis des correctifs, et trois restent non résolus.
Les risques informationnels non résolus comprennent :
Rapport d'audit de Zellic
Le rapport d'audit de Zellic a été téléchargé en avril 2023, et a révélé 3 risques d'information, qui n'ont pas été corrigés :
Ces questions concernent principalement la conformité du code, avec un risque relativement faible.
L'importance de l'audit de code
L'audit est essentiel pour la sécurité des projets. Les projets qui n'ont pas été audités peuvent présenter des risques élevés. Cependant, même les projets audités par plusieurs organismes, comme Cetus, peuvent subir des attaques. Cela montre qu'il ne suffit pas de se fier uniquement à l'audit de code.
Certains nouveaux projets DEX ont adopté des mesures de sécurité plus complètes :
Conclusion
L'incident de Cetus prouve une fois de plus que même les projets ayant fait l'objet d'audits par plusieurs organismes peuvent être confrontés à des risques de sécurité. Pour les projets DeFi, une combinaison d'audits par plusieurs parties avec des programmes de primes de vulnérabilité ou des concours d'audit peut assurer une meilleure sécurité. Cependant, des problèmes non résolus persistent dans les protocoles DeFi émergents, ce qui explique l'importance de suivre continuellement l'état des audits de code de ces protocoles.