Cetus зазнав атаки, важливість аудиту безпеки коду знову підкреслена
Причини та наслідки атаки на Cetus наразі не є чіткими. Спочатку давайте розглянемо ситуацію з аудитом безпеки коду Cetus.
Хоча звичайним користувачам може бути важко зрозуміти конкретні технічні деталі, ми можемо отримати загальне уявлення про ситуацію через аудиторський звіт.
Звіт про аудит коду Cetus
На GitHub Cetus розміщено 5 звітів про аудит коду, що надійшли від MoveBit, OtterSec та Zellic. Ці аудиторські організації зосереджуються на аудиті коду Move, що є надзвичайно важливим для нових екосистем публічних блокчейнів, таких як Aptos та SUI. Оскільки атака сталася на ланцюзі SUI, ми зосередимося на звітах про аудит, пов'язаних із ланцюгом SUI.
Аудиторський звіт MoveBit
Аудиторський звіт MoveBit був завантажений на GitHub 28 квітня 2023 року. У звіті було виявлено 18 ризиків, зокрема 1 критичний ризик, 2 суттєвих ризики, 3 помірних ризики та 12 незначних ризиків. Варто зазначити, що всі ці проблеми були вирішені.
Звіт аудиту OtterSec
Звіт аудиту OtterSec був завантажений 12 травня 2023 року. У звіті виявлено 1 високо ризикову проблему, 1 середньо ризикову проблему та 7 інформаційних ризиків. Високо ризикова та середньо ризикова проблеми були вирішені, а з інформаційних ризиків 2 було вирішено, 2 подано виправлення, ще 3 залишаються нерозв'язаними.
Невирішені інформаційні ризики включають:
Невідповідність версій коду SUI та Aptos може вплинути на точність розрахунку цін у ліквідних пулах.
Відсутність валідації стану паузи може призвести до того, що ліквідні пул, що знаходиться в паузі, все ще може здійснювати交易.
У великих транзакціях може виникнути переповнення при перетворенні типу з u256 на u64, що призведе до помилок у обчисленнях.
Звіт аудиту Zellic
Аудиторський звіт Zellic був завантажений у квітні 2023 року, виявлено 3 інформаційні ризики, які не були виправлені:
Питання авторизації, яке дозволяє будь-кому вносити кошти на будь-який партнерський рахунок.
Відкинута, але все ще використана функція, що призводить до надмірності коду.
Проблема відображення UI в даних NFT.
Ці питання в основному стосуються нормативності коду, ризики відносно низькі.
Важливість аудиту коду
Аудит є вкрай важливим для безпеки проекту. Проекти, які не пройшли аудит коду, можуть мати високі ризики. Однак навіть проекти, які були перевірені кількома установами, такі як Cetus, можуть зазнати атак. Це свідчить про те, що покладатися лише на аудит коду недостатньо.
Деякі нові DEX-проекти вживають більш комплексних заходів безпеки:
GMX V2 пройшов аудит коду від 5 компаній та запустив програму винагороди за вразливості до 5000000 доларів.
DeGate пройшов аудит коду трьома компаніями та запустив програму винагороди за вразливості на суму до 1 110 000 доларів.
DYDX V4 пройшов аудит коду компанією Informal Systems і має програму винагороди за вразливості до 5 мільйонів доларів.
Hyperliquid провела внутрішній аудит коду та має програму винагороди за вразливості до 1 мільйона доларів.
Висновок
Випадок з Cetus ще раз доводить, що навіть проекти, які пройшли аудит у кількох установах, можуть стикатися з ризиками безпеки. Для проектів DeFi спільні аудити в поєднанні з програмами винагород за вразливості або конкурсами аудиту можуть відносно краще забезпечити безпеку. Проте в нових протоколах DeFi все ще існують невиправлені проблеми, тому так важливо постійно стежити за станом кодів цих протоколів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
16 лайків
Нагородити
16
5
Репост
Поділіться
Прокоментувати
0/400
PermabullPete
· 08-13 11:10
Не треба, подивись, як вони втекли з трьох судових розглядів.
Переглянути оригіналвідповісти на0
GateUser-4745f9ce
· 08-12 14:10
Виявляється, все ж таки просто перевірили на порожнечу.
Cetus зазнав атаки, багаторазовий аудит коду не гарантує абсолютну безпеку
Cetus зазнав атаки, важливість аудиту безпеки коду знову підкреслена
Причини та наслідки атаки на Cetus наразі не є чіткими. Спочатку давайте розглянемо ситуацію з аудитом безпеки коду Cetus.
Хоча звичайним користувачам може бути важко зрозуміти конкретні технічні деталі, ми можемо отримати загальне уявлення про ситуацію через аудиторський звіт.
Звіт про аудит коду Cetus
На GitHub Cetus розміщено 5 звітів про аудит коду, що надійшли від MoveBit, OtterSec та Zellic. Ці аудиторські організації зосереджуються на аудиті коду Move, що є надзвичайно важливим для нових екосистем публічних блокчейнів, таких як Aptos та SUI. Оскільки атака сталася на ланцюзі SUI, ми зосередимося на звітах про аудит, пов'язаних із ланцюгом SUI.
Аудиторський звіт MoveBit
Аудиторський звіт MoveBit був завантажений на GitHub 28 квітня 2023 року. У звіті було виявлено 18 ризиків, зокрема 1 критичний ризик, 2 суттєвих ризики, 3 помірних ризики та 12 незначних ризиків. Варто зазначити, що всі ці проблеми були вирішені.
Звіт аудиту OtterSec
Звіт аудиту OtterSec був завантажений 12 травня 2023 року. У звіті виявлено 1 високо ризикову проблему, 1 середньо ризикову проблему та 7 інформаційних ризиків. Високо ризикова та середньо ризикова проблеми були вирішені, а з інформаційних ризиків 2 було вирішено, 2 подано виправлення, ще 3 залишаються нерозв'язаними.
Невирішені інформаційні ризики включають:
Звіт аудиту Zellic
Аудиторський звіт Zellic був завантажений у квітні 2023 року, виявлено 3 інформаційні ризики, які не були виправлені:
Ці питання в основному стосуються нормативності коду, ризики відносно низькі.
Важливість аудиту коду
Аудит є вкрай важливим для безпеки проекту. Проекти, які не пройшли аудит коду, можуть мати високі ризики. Однак навіть проекти, які були перевірені кількома установами, такі як Cetus, можуть зазнати атак. Це свідчить про те, що покладатися лише на аудит коду недостатньо.
Деякі нові DEX-проекти вживають більш комплексних заходів безпеки:
Висновок
Випадок з Cetus ще раз доводить, що навіть проекти, які пройшли аудит у кількох установах, можуть стикатися з ризиками безпеки. Для проектів DeFi спільні аудити в поєднанні з програмами винагород за вразливості або конкурсами аудиту можуть відносно краще забезпечити безпеку. Проте в нових протоколах DeFi все ще існують невиправлені проблеми, тому так важливо постійно стежити за станом кодів цих протоколів.