Cetus saldırıya uğradı, kod güvenlik denetiminin önemi bir kez daha vurgulandı
Cetus'un saldırıya uğramasının kesin nedenleri ve etkileri şu anda belirsizdir. Öncelikle Cetus'un kod güvenlik denetim durumunu gözden geçirelim.
Her ne kadar sıradan kullanıcılar belirli teknik detayları anlamakta zorlanabilse de, denetim özetleri aracılığıyla durumu kabaca anlayabiliriz.
Cetus'un kod denetim raporu
Cetus'un GitHub'unda MoveBit, OtterSec ve Zellic'ten gelen 5 kod denetim raporu listelenmiştir. Bu denetim kuruluşları, Aptos ve SUI gibi yeni nesil halka açık zincir ekosistemleri için kritik öneme sahip olan Move dili kod denetimine odaklanmaktadır. Bu saldırının SUI zincirinde gerçekleşmesi nedeniyle, SUI zinciriyle ilgili denetim raporlarına odaklanacağız.
MoveBit'in denetim raporu
MoveBit'in denetim raporu 28 Nisan 2023'te GitHub'a yüklendi. Rapor toplamda 18 risk sorunu tespit etti; bunlar arasında 1 kritik risk, 2 önemli risk, 3 orta düzey risk ve 12 hafif risk bulunmaktadır. Dikkate değer bir nokta, bu sorunların hepsinin çözüme kavuşturulmuş olmasıdır.
OtterSec'in denetim raporu
OtterSec'in denetim raporu 12 Mayıs 2023 tarihinde yüklendi. Rapor, 1 yüksek riskli sorun, 1 orta düzeyde riskli sorun ve 7 bilgilendirici risk buldu. Yüksek riskli ve orta düzeyde riskli sorunlar çözülmüştür, bilgilendirici risklerden 2'si çözülmüş, 2'si düzeltme yaması gönderilmiş, 3'ü ise çözülmemiştir.
Çözülemeyen bilgi riskleri şunlardır:
SUI ile Aptos versiyon kodları arasında tutarsızlık var, bu durum likidite havuzunun fiyat hesaplamalarının doğruluğunu etkileyebilir.
Duraklatma durumu doğrulaması eksik, bu da duraklatılan likidite havuzlarının hâlâ işlem yapmasına neden olabilir.
Büyük işlemlerde u256'dan u64'e tür dönüşümü aşımı meydana gelebilir ve bu da hesaplama hatalarına yol açabilir.
Zellic'in Denetim Raporu
Zellic'in denetim raporu 2023'ün Nisan ayında yüklendi ve hepsi giderilmemiş 3 bilgi riski tespit edildi:
Herkese herhangi bir ortak hesaplarına ücret yatırma yetkisi veren bir yetkilendirme sorunu.
Kullanımdan kaldırılmış ancak hala atıfta bulunulan bir fonksiyon, kod fazlalığına neden olur.
NFT gösterim verilerindeki UI sunum sorunu.
Bu sorular esas olarak kod standartları ile ilgilidir, risk oldukça düşüktür.
Kod Denetiminin Önemi
Denetim, projelerin güvenliği için hayati öneme sahiptir. Kod denetimi yapılmamış projeler daha yüksek riskler taşıyabilir. Ancak, birden fazla kurum tarafından denetlenen projeler, örneğin Cetus, saldırıya uğrayabilir. Bu, sadece kod denetimine güvenmenin yeterli olmadığını göstermektedir.
Bazı yeni DEX projeleri daha kapsamlı güvenlik önlemleri almıştır:
GMX V2, 5 şirket tarafından kod denetimi yapılmış ve 500.000 dolara kadar ödül programı başlatılmıştır.
DeGate, 3 şirket tarafından kod denetimi yapılmış ve en yüksek 111.000 dolarlık bir açık bulma ödül programı başlatılmıştır.
DYDX V4, Informal Systems tarafından kod denetiminden geçirilmiş olup, en yüksek 5 milyon dolar değerinde bir güvenlik açığı ödül programına sahiptir.
Hyperliquid, iç kod denetimi gerçekleştirdi ve en yüksek 1.000.000 $'lık bir güvenlik açığı ödül programı sunuyor.
Sonuç
Cetus'un karşılaştığı durum, birden fazla kurumun denetiminden geçmiş projelerin bile güvenlik riskleriyle karşılaşabileceğini bir kez daha kanıtladı. DeFi projeleri için, çoklu denetim ve açık bulma ödül programları veya denetim yarışmaları, güvenliği daha iyi sağlama konusunda yardımcı olabilir. Ancak, yeni ortaya çıkan DeFi protokollerinde hala düzeltilmemiş sorunlar bulunmaktadır, bu da bu protokollerin kod denetim durumuna sürekli dikkat etmenin neden bu kadar önemli olduğunu göstermektedir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
16 Likes
Reward
16
5
Repost
Share
Comment
0/400
PermabullPete
· 12h ago
Hayır, bakın insanlar üç kez gözden geçirmeden kaçıp gittiler.
Cetus saldırıya uğradı, çoklu kod denetimi mutlak güvenliği sağlamıyor.
Cetus saldırıya uğradı, kod güvenlik denetiminin önemi bir kez daha vurgulandı
Cetus'un saldırıya uğramasının kesin nedenleri ve etkileri şu anda belirsizdir. Öncelikle Cetus'un kod güvenlik denetim durumunu gözden geçirelim.
Her ne kadar sıradan kullanıcılar belirli teknik detayları anlamakta zorlanabilse de, denetim özetleri aracılığıyla durumu kabaca anlayabiliriz.
Cetus'un kod denetim raporu
Cetus'un GitHub'unda MoveBit, OtterSec ve Zellic'ten gelen 5 kod denetim raporu listelenmiştir. Bu denetim kuruluşları, Aptos ve SUI gibi yeni nesil halka açık zincir ekosistemleri için kritik öneme sahip olan Move dili kod denetimine odaklanmaktadır. Bu saldırının SUI zincirinde gerçekleşmesi nedeniyle, SUI zinciriyle ilgili denetim raporlarına odaklanacağız.
MoveBit'in denetim raporu
MoveBit'in denetim raporu 28 Nisan 2023'te GitHub'a yüklendi. Rapor toplamda 18 risk sorunu tespit etti; bunlar arasında 1 kritik risk, 2 önemli risk, 3 orta düzey risk ve 12 hafif risk bulunmaktadır. Dikkate değer bir nokta, bu sorunların hepsinin çözüme kavuşturulmuş olmasıdır.
OtterSec'in denetim raporu
OtterSec'in denetim raporu 12 Mayıs 2023 tarihinde yüklendi. Rapor, 1 yüksek riskli sorun, 1 orta düzeyde riskli sorun ve 7 bilgilendirici risk buldu. Yüksek riskli ve orta düzeyde riskli sorunlar çözülmüştür, bilgilendirici risklerden 2'si çözülmüş, 2'si düzeltme yaması gönderilmiş, 3'ü ise çözülmemiştir.
Çözülemeyen bilgi riskleri şunlardır:
Zellic'in Denetim Raporu
Zellic'in denetim raporu 2023'ün Nisan ayında yüklendi ve hepsi giderilmemiş 3 bilgi riski tespit edildi:
Bu sorular esas olarak kod standartları ile ilgilidir, risk oldukça düşüktür.
Kod Denetiminin Önemi
Denetim, projelerin güvenliği için hayati öneme sahiptir. Kod denetimi yapılmamış projeler daha yüksek riskler taşıyabilir. Ancak, birden fazla kurum tarafından denetlenen projeler, örneğin Cetus, saldırıya uğrayabilir. Bu, sadece kod denetimine güvenmenin yeterli olmadığını göstermektedir.
Bazı yeni DEX projeleri daha kapsamlı güvenlik önlemleri almıştır:
Sonuç
Cetus'un karşılaştığı durum, birden fazla kurumun denetiminden geçmiş projelerin bile güvenlik riskleriyle karşılaşabileceğini bir kez daha kanıtladı. DeFi projeleri için, çoklu denetim ve açık bulma ödül programları veya denetim yarışmaları, güvenliği daha iyi sağlama konusunda yardımcı olabilir. Ancak, yeni ortaya çıkan DeFi protokollerinde hala düzeltilmemiş sorunlar bulunmaktadır, bu da bu protokollerin kod denetim durumuna sürekli dikkat etmenin neden bu kadar önemli olduğunu göstermektedir.