Cetus подвергся атаке, важность аудита безопасности кода вновь подчеркивается
Конкретные причины и последствия атаки на Cetus в настоящее время неясны. Давайте сначала рассмотрим ситуацию с аудитом безопасности кода Cetus.
Хотя обычным пользователям может быть трудно понять конкретные технические детали, мы можем получить общее представление о ситуации через резюме аудита.
Отчет по аудиту кода Cetus
На GitHub проекта Cetus опубликовано 5 отчетов об аудите кода, которые были подготовлены MoveBit, OtterSec и Zellic. Эти аудиторские организации сосредоточены на аудите кода на языке Move, что имеет жизненно важное значение для новых экосистем блокчейнов, таких как Aptos и SUI. Поскольку эта атака произошла на блокчейне SUI, мы сосредоточим свое внимание на отчетах об аудите, связанных с блокчейном SUI.
Аудит отчета MoveBit
Аудиторский отчет MoveBit был загружен на GitHub 28 апреля 2023 года. В отчете было выявлено 18 рисковых проблем, включая 1 критический риск, 2 основных риска, 3 умеренных риска и 12 незначительных риска. Стоит отметить, что все эти проблемы были решены.
Отчет об аудите OtterSec
Аудиторский отчет OtterSec был загружен 12 мая 2023 года. В отчете выявлена 1 проблема высокого риска, 1 проблема среднего риска и 7 информационных рисков. Проблемы высокого и среднего риска были решены, в то время как из информационных рисков 2 были решены, 2 были отправлены на исправление, а 3 остаются нерешенными.
Неурегулированные информационные риски включают в себя:
Код версии SUI и Aptos не совпадает, что может повлиять на точность расчета цен в ликвидном пуле.
Отсутствие проверки состояния приостановки может привести к тому, что приостановленные ликвидные пулы все еще могут проводить сделки.
В крупных сделках может произойти переполнение преобразования типов u256 в u64, что приведет к ошибкам в расчетах.
Аудиторский отчет Zellic
Аудит отчета Zellic был загружен в апреле 2023 года, в нем было выявлено 3 информационных риска, которые не были устранены:
Вопрос авторизации, позволяющий любому человеку вносить средства на любой партнерский аккаунт.
Устаревшая, но все еще используемая функция, вызывающая избыточность кода.
Проблемы с отображением UI в данных NFT.
Эти вопросы в основном касаются кодовых стандартов, и риск относительно низок.
Важность аудита кода
Аудит жизненно важен для безопасности проекта. Проекты, не прошедшие аудит кода, могут представлять собой более высокий риск. Однако даже проекты, прошедшие аудит нескольких учреждений, такие как Cetus, могут быть подвержены атакам. Это говорит о том, что полагаться только на аудит кода недостаточно.
Некоторые новые проекты DEX принимают более комплексные меры безопасности:
GMX V2 прошла аудит кода в пяти компаниях и запустила программу поощрения за уязвимости с максимальным вознаграждением в 5000000 долларов.
DeGate прошел кодовый аудит у 3 компаний и запустил программу вознаграждений за уязвимости на сумму до 1,11 миллиона долларов.
DYDX V4 был проверен кодом компанией Informal Systems и имеет программу вознаграждений за уязвимости до 5 миллионов долларов.
Hyperliquid провела внутренний аудит кода и имеет программу вознаграждений за уязвимости с максимальным вознаграждением в 1 миллион долларов.
Заключение
Случай с Cetus вновь доказал, что даже проекты, прошедшие аудит нескольких учреждений, могут столкнуться с рисками безопасности. Для проектов DeFi многопользовательские аудиты в сочетании с программами вознаграждений за уязвимости или конкурсами аудита могут относительно лучше гарантировать безопасность. Тем не менее, в новых DeFi-протоколах все еще существуют нерешенные проблемы, и именно поэтому так важно продолжать следить за состоянием аудита кода этих протоколов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
16 Лайков
Награда
16
5
Репост
Поделиться
комментарий
0/400
PermabullPete
· 11ч назад
Не надо, смотри, они уже сбежали после трех слушаний.
Cetus подвергся атаке, множественные аудиты кода не могут гарантировать абсолютную безопасность
Cetus подвергся атаке, важность аудита безопасности кода вновь подчеркивается
Конкретные причины и последствия атаки на Cetus в настоящее время неясны. Давайте сначала рассмотрим ситуацию с аудитом безопасности кода Cetus.
Хотя обычным пользователям может быть трудно понять конкретные технические детали, мы можем получить общее представление о ситуации через резюме аудита.
Отчет по аудиту кода Cetus
На GitHub проекта Cetus опубликовано 5 отчетов об аудите кода, которые были подготовлены MoveBit, OtterSec и Zellic. Эти аудиторские организации сосредоточены на аудите кода на языке Move, что имеет жизненно важное значение для новых экосистем блокчейнов, таких как Aptos и SUI. Поскольку эта атака произошла на блокчейне SUI, мы сосредоточим свое внимание на отчетах об аудите, связанных с блокчейном SUI.
Аудит отчета MoveBit
Аудиторский отчет MoveBit был загружен на GitHub 28 апреля 2023 года. В отчете было выявлено 18 рисковых проблем, включая 1 критический риск, 2 основных риска, 3 умеренных риска и 12 незначительных риска. Стоит отметить, что все эти проблемы были решены.
Отчет об аудите OtterSec
Аудиторский отчет OtterSec был загружен 12 мая 2023 года. В отчете выявлена 1 проблема высокого риска, 1 проблема среднего риска и 7 информационных рисков. Проблемы высокого и среднего риска были решены, в то время как из информационных рисков 2 были решены, 2 были отправлены на исправление, а 3 остаются нерешенными.
Неурегулированные информационные риски включают в себя:
Аудиторский отчет Zellic
Аудит отчета Zellic был загружен в апреле 2023 года, в нем было выявлено 3 информационных риска, которые не были устранены:
Эти вопросы в основном касаются кодовых стандартов, и риск относительно низок.
Важность аудита кода
Аудит жизненно важен для безопасности проекта. Проекты, не прошедшие аудит кода, могут представлять собой более высокий риск. Однако даже проекты, прошедшие аудит нескольких учреждений, такие как Cetus, могут быть подвержены атакам. Это говорит о том, что полагаться только на аудит кода недостаточно.
Некоторые новые проекты DEX принимают более комплексные меры безопасности:
Заключение
Случай с Cetus вновь доказал, что даже проекты, прошедшие аудит нескольких учреждений, могут столкнуться с рисками безопасности. Для проектов DeFi многопользовательские аудиты в сочетании с программами вознаграждений за уязвимости или конкурсами аудита могут относительно лучше гарантировать безопасность. Тем не менее, в новых DeFi-протоколах все еще существуют нерешенные проблемы, и именно поэтому так важно продолжать следить за состоянием аудита кода этих протоколов.