Cetus foi atacado, a importância da auditoria de segurança de código é mais uma vez destacada
As causas e os impactos do ataque ao Cetus ainda não estão claros. Vamos primeiro rever a situação da auditoria de segurança do código do Cetus.
Embora os utilizadores comuns possam ter dificuldade em compreender os detalhes técnicos específicos, podemos ter uma ideia geral da situação através do resumo da auditoria.
Relatório de Auditoria de Código do Cetus
No GitHub do Cetus, estão listados 5 relatórios de auditoria de código, provenientes da MoveBit, OtterSec e Zellic. Essas instituições de auditoria se concentram na auditoria de código da linguagem Move, o que é crucial para ecossistemas emergentes de blockchains como Aptos e SUI. Como o ataque ocorreu na cadeia SUI, vamos nos concentrar nos relatórios de auditoria relacionados à cadeia SUI.
Relatório de auditoria da MoveBit
O relatório de auditoria da MoveBit foi enviado ao GitHub em 28 de abril de 2023. O relatório identificou um total de 18 problemas de risco, incluindo 1 risco crítico, 2 riscos principais, 3 riscos moderados e 12 riscos leves. Vale ressaltar que todos esses problemas já foram resolvidos.
Relatório de auditoria da OtterSec
O relatório de auditoria da OtterSec foi enviado a 12 de maio de 2023. O relatório identificou 1 problema de alto risco, 1 problema de risco médio e 7 riscos informativos. Os problemas de alto e médio risco foram resolvidos, enquanto 2 dos riscos informativos foram resolvidos, 2 tiveram patches de correção submetidos e 3 permanecem não resolvidos.
Os riscos informativos não resolvidos incluem:
A versão do código SUI não coincide com a do Aptos, o que pode afetar a precisão do cálculo do preço do pool de liquidez.
Falta a verificação do estado de pausa, o que pode levar a que pools de liquidez que estão pausados ainda possam realizar transações.
Durante transações de grande valor, pode ocorrer uma sobrecarga na conversão de tipos de u256 para u64, resultando em erros de cálculo.
Relatório de auditoria da Zellic
O relatório de auditoria da Zellic foi enviado em abril de 2023, onde foram identificados 3 riscos informativos, que não foram corrigidos:
Uma questão de autorização que permite a qualquer pessoa depositar taxas em qualquer conta de parceiro.
Uma função que foi descontinuada, mas ainda é referenciada, causando redundância no código.
Problemas de apresentação da UI nos dados exibidos do NFT.
Estas questões estão principalmente relacionadas com a conformidade do código, com um risco relativamente baixo.
A importância da auditoria de código
A auditoria é crucial para a segurança do projeto. Projetos que não passaram por auditoria de código podem apresentar riscos elevados. No entanto, mesmo projetos auditados por várias instituições, como o Cetus, podem sofrer ataques. Isso demonstra que confiar apenas na auditoria de código não é suficiente.
Alguns novos projetos DEX adotaram medidas de segurança mais abrangentes:
O GMX V2 foi auditado por 5 empresas e lançou um programa de recompensas por vulnerabilidades de até 5 milhões de dólares.
DeGate foi auditado em código por 3 empresas e lançou um programa de recompensas por vulnerabilidades de até 1.11 milhões de dólares.
DYDX V4 foi auditado por Informal Systems e possui um programa de recompensas por vulnerabilidades de até 5 milhões de dólares.
A Hyperliquid realizou uma auditoria interna de código e tem um programa de recompensas por bugs de até 1 milhão de dólares.
Conclusão
O incidente com o Cetus prova novamente que mesmo projetos auditados por várias instituições podem enfrentar riscos de segurança. Para projetos DeFi, auditorias de múltiplas partes combinadas com programas de recompensas por vulnerabilidades ou competições de auditoria podem garantir uma segurança relativamente melhor. No entanto, ainda existem problemas não resolvidos em protocolos DeFi emergentes, o que torna tão importante a atenção contínua à situação das auditorias de código desses protocolos.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
Cetus atacado, múltiplas auditorias de código não garantem segurança absoluta
Cetus foi atacado, a importância da auditoria de segurança de código é mais uma vez destacada
As causas e os impactos do ataque ao Cetus ainda não estão claros. Vamos primeiro rever a situação da auditoria de segurança do código do Cetus.
Embora os utilizadores comuns possam ter dificuldade em compreender os detalhes técnicos específicos, podemos ter uma ideia geral da situação através do resumo da auditoria.
Relatório de Auditoria de Código do Cetus
No GitHub do Cetus, estão listados 5 relatórios de auditoria de código, provenientes da MoveBit, OtterSec e Zellic. Essas instituições de auditoria se concentram na auditoria de código da linguagem Move, o que é crucial para ecossistemas emergentes de blockchains como Aptos e SUI. Como o ataque ocorreu na cadeia SUI, vamos nos concentrar nos relatórios de auditoria relacionados à cadeia SUI.
Relatório de auditoria da MoveBit
O relatório de auditoria da MoveBit foi enviado ao GitHub em 28 de abril de 2023. O relatório identificou um total de 18 problemas de risco, incluindo 1 risco crítico, 2 riscos principais, 3 riscos moderados e 12 riscos leves. Vale ressaltar que todos esses problemas já foram resolvidos.
Relatório de auditoria da OtterSec
O relatório de auditoria da OtterSec foi enviado a 12 de maio de 2023. O relatório identificou 1 problema de alto risco, 1 problema de risco médio e 7 riscos informativos. Os problemas de alto e médio risco foram resolvidos, enquanto 2 dos riscos informativos foram resolvidos, 2 tiveram patches de correção submetidos e 3 permanecem não resolvidos.
Os riscos informativos não resolvidos incluem:
Relatório de auditoria da Zellic
O relatório de auditoria da Zellic foi enviado em abril de 2023, onde foram identificados 3 riscos informativos, que não foram corrigidos:
Estas questões estão principalmente relacionadas com a conformidade do código, com um risco relativamente baixo.
A importância da auditoria de código
A auditoria é crucial para a segurança do projeto. Projetos que não passaram por auditoria de código podem apresentar riscos elevados. No entanto, mesmo projetos auditados por várias instituições, como o Cetus, podem sofrer ataques. Isso demonstra que confiar apenas na auditoria de código não é suficiente.
Alguns novos projetos DEX adotaram medidas de segurança mais abrangentes:
Conclusão
O incidente com o Cetus prova novamente que mesmo projetos auditados por várias instituições podem enfrentar riscos de segurança. Para projetos DeFi, auditorias de múltiplas partes combinadas com programas de recompensas por vulnerabilidades ou competições de auditoria podem garantir uma segurança relativamente melhor. No entanto, ainda existem problemas não resolvidos em protocolos DeFi emergentes, o que torna tão importante a atenção contínua à situação das auditorias de código desses protocolos.