Cetus diserang, pentingnya audit keamanan kode sekali lagi ditekankan
Alasan dan dampak spesifik dari serangan terhadap Cetus saat ini masih belum jelas. Mari kita pertama-tama meninjau situasi audit keamanan kode Cetus.
Meskipun pengguna biasa mungkin sulit memahami rincian teknis tertentu, kita dapat memperoleh pemahaman umum tentang situasi melalui ringkasan audit.
Laporan Audit Kode Cetus
GitHub Cetus mencantumkan 5 laporan audit kode, yang berasal dari MoveBit, OtterSec, dan Zellic. Lembaga audit ini semuanya fokus pada audit kode bahasa Move, yang sangat penting bagi ekosistem blockchain baru seperti Aptos dan SUI. Karena serangan ini terjadi di jaringan SUI, kami akan fokus pada laporan audit terkait jaringan SUI.
Laporan audit MoveBit
Laporan audit MoveBit diunggah ke GitHub pada 28 April 2023. Laporan tersebut menemukan total 18 masalah risiko, termasuk 1 risiko fatal, 2 risiko utama, 3 risiko sedang, dan 12 risiko ringan. Perlu dicatat bahwa semua masalah ini telah diselesaikan.
Laporan audit OtterSec
Laporan audit OtterSec diunggah pada 12 Mei 2023. Laporan tersebut menemukan 1 masalah risiko tinggi, 1 masalah risiko sedang, dan 7 risiko informasi. Masalah risiko tinggi dan sedang telah diselesaikan, sedangkan dari risiko informasi, 2 telah diselesaikan, 2 telah mengajukan patch perbaikan, dan 3 masih belum teratasi.
Risiko informasi yang belum teratasi termasuk:
Kode versi SUI dan Aptos tidak konsisten, yang dapat mempengaruhi akurasi perhitungan harga kolam likuiditas.
Kurangnya verifikasi status jeda dapat menyebabkan kolam likuiditas yang ditangguhkan masih dapat melakukan transaksi.
Dalam transaksi besar, mungkin terjadi overflow dalam konversi tipe dari u256 ke u64, yang menyebabkan kesalahan perhitungan.
Laporan audit Zellic
Laporan audit Zellic diunggah pada April 2023, menemukan 3 risiko informasi, yang semuanya belum diperbaiki:
Masalah otorisasi yang memungkinkan siapa pun untuk menyetor biaya ke akun mitra mana pun.
Sebuah fungsi yang sudah tidak digunakan tetapi masih dirujuk, menyebabkan kelebihan kode.
Masalah tampilan UI dalam data tampilan NFT.
Masalah ini terutama berkaitan dengan kepatuhan kode, dengan risiko yang relatif rendah.
Pentingnya Audit Kode
Audit sangat penting untuk keamanan proyek. Proyek yang tidak melalui audit kode mungkin memiliki risiko yang lebih tinggi. Namun, bahkan proyek yang telah diaudit oleh beberapa lembaga, seperti Cetus, juga dapat mengalami serangan. Ini menunjukkan bahwa hanya mengandalkan audit kode tidaklah cukup.
Beberapa proyek DEX yang baru muncul telah mengambil langkah-langkah keamanan yang lebih komprehensif:
GMX V2 diaudit kode oleh 5 perusahaan dan meluncurkan program hadiah bug hingga 5 juta dolar.
DeGate telah menjalani audit kode oleh 3 perusahaan dan meluncurkan program hadiah bug hingga 1,11 juta dolar.
DYDX V4 diaudit kode oleh Informal Systems, dan memiliki program bounty kerentanan hingga 5 juta dolar.
Hyperliquid telah melakukan audit kode internal dan memiliki program hadiah bug hingga 1 juta dolar.
Kata Penutup
Pengalaman Cetus sekali lagi membuktikan bahwa proyek yang telah diaudit oleh berbagai lembaga masih dapat menghadapi risiko keamanan. Untuk proyek DeFi, audit oleh banyak pihak yang dipadukan dengan program bug bounty atau kompetisi audit dapat relatif lebih baik dalam menjaga keamanan. Namun, masih ada masalah yang belum diperbaiki dalam protokol DeFi yang baru muncul, itulah sebabnya penting untuk terus memantau situasi audit kode dari protokol-protokol ini.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
16 Suka
Hadiah
16
5
Posting ulang
Bagikan
Komentar
0/400
PermabullPete
· 08-13 11:10
Jangan, lihat orang lain sudah pergi setelah tiga kali pengadilan.
Cetus diserang, audit kode ganda sulit menjamin keamanan mutlak
Cetus diserang, pentingnya audit keamanan kode sekali lagi ditekankan
Alasan dan dampak spesifik dari serangan terhadap Cetus saat ini masih belum jelas. Mari kita pertama-tama meninjau situasi audit keamanan kode Cetus.
Meskipun pengguna biasa mungkin sulit memahami rincian teknis tertentu, kita dapat memperoleh pemahaman umum tentang situasi melalui ringkasan audit.
Laporan Audit Kode Cetus
GitHub Cetus mencantumkan 5 laporan audit kode, yang berasal dari MoveBit, OtterSec, dan Zellic. Lembaga audit ini semuanya fokus pada audit kode bahasa Move, yang sangat penting bagi ekosistem blockchain baru seperti Aptos dan SUI. Karena serangan ini terjadi di jaringan SUI, kami akan fokus pada laporan audit terkait jaringan SUI.
Laporan audit MoveBit
Laporan audit MoveBit diunggah ke GitHub pada 28 April 2023. Laporan tersebut menemukan total 18 masalah risiko, termasuk 1 risiko fatal, 2 risiko utama, 3 risiko sedang, dan 12 risiko ringan. Perlu dicatat bahwa semua masalah ini telah diselesaikan.
Laporan audit OtterSec
Laporan audit OtterSec diunggah pada 12 Mei 2023. Laporan tersebut menemukan 1 masalah risiko tinggi, 1 masalah risiko sedang, dan 7 risiko informasi. Masalah risiko tinggi dan sedang telah diselesaikan, sedangkan dari risiko informasi, 2 telah diselesaikan, 2 telah mengajukan patch perbaikan, dan 3 masih belum teratasi.
Risiko informasi yang belum teratasi termasuk:
Laporan audit Zellic
Laporan audit Zellic diunggah pada April 2023, menemukan 3 risiko informasi, yang semuanya belum diperbaiki:
Masalah ini terutama berkaitan dengan kepatuhan kode, dengan risiko yang relatif rendah.
Pentingnya Audit Kode
Audit sangat penting untuk keamanan proyek. Proyek yang tidak melalui audit kode mungkin memiliki risiko yang lebih tinggi. Namun, bahkan proyek yang telah diaudit oleh beberapa lembaga, seperti Cetus, juga dapat mengalami serangan. Ini menunjukkan bahwa hanya mengandalkan audit kode tidaklah cukup.
Beberapa proyek DEX yang baru muncul telah mengambil langkah-langkah keamanan yang lebih komprehensif:
Kata Penutup
Pengalaman Cetus sekali lagi membuktikan bahwa proyek yang telah diaudit oleh berbagai lembaga masih dapat menghadapi risiko keamanan. Untuk proyek DeFi, audit oleh banyak pihak yang dipadukan dengan program bug bounty atau kompetisi audit dapat relatif lebih baik dalam menjaga keamanan. Namun, masih ada masalah yang belum diperbaiki dalam protokol DeFi yang baru muncul, itulah sebabnya penting untuk terus memantau situasi audit kode dari protokol-protokol ini.