Cetus bị tấn công, tầm quan trọng của việc kiểm toán an ninh mã lại được làm nổi bật
Nguyên nhân và tác động cụ thể của việc Cetus bị tấn công hiện vẫn chưa rõ ràng. Hãy cùng nhìn lại tình hình kiểm toán an ninh mã nguồn của Cetus.
Mặc dù người dùng thông thường có thể khó hiểu các chi tiết kỹ thuật cụ thể, nhưng chúng ta có thể có cái nhìn tổng quát về tình hình thông qua tóm tắt kiểm toán.
Báo cáo kiểm toán mã của Cetus
GitHub của Cetus đã liệt kê 5 báo cáo kiểm toán mã, đến từ MoveBit, OtterSec và Zellic. Các cơ quan kiểm toán này đều tập trung vào kiểm toán mã ngôn ngữ Move, điều này rất quan trọng đối với hệ sinh thái chuỗi công khai mới nổi như Aptos và SUI. Do cuộc tấn công lần này xảy ra trên chuỗi SUI, chúng tôi sẽ tập trung vào các báo cáo kiểm toán liên quan đến chuỗi SUI.
Báo cáo kiểm toán của MoveBit
Báo cáo kiểm toán của MoveBit đã được tải lên GitHub vào ngày 28 tháng 4 năm 2023. Báo cáo này đã phát hiện tổng cộng 18 vấn đề rủi ro, bao gồm 1 rủi ro nghiêm trọng, 2 rủi ro chính, 3 rủi ro vừa và 12 rủi ro nhẹ. Đáng chú ý là tất cả những vấn đề này đã được giải quyết.
Báo cáo kiểm toán của OtterSec
Báo cáo kiểm toán của OtterSec đã được tải lên vào ngày 12 tháng 5 năm 2023. Báo cáo phát hiện 1 vấn đề rủi ro cao, 1 vấn đề rủi ro trung bình và 7 vấn đề rủi ro thông tin. Vấn đề rủi ro cao và trung bình đã được giải quyết, trong khi 2 trong số các rủi ro thông tin đã được giải quyết, 2 cái đã được gửi bản vá sửa lỗi, còn 3 cái chưa được giải quyết.
Những rủi ro thông tin chưa được giải quyết bao gồm:
Mã phiên bản SUI và Aptos không nhất quán, có thể ảnh hưởng đến độ chính xác của việc tính toán giá trong pool thanh khoản.
Thiếu xác thực trạng thái tạm dừng, có thể dẫn đến việc các hồ bơi thanh khoản bị tạm dừng vẫn có thể giao dịch.
Trong giao dịch lớn có thể xảy ra tràn số trong việc chuyển đổi từ u256 sang u64, dẫn đến sai sót trong tính toán.
Báo cáo kiểm toán của Zellic
Báo cáo kiểm toán của Zellic được tải lên vào tháng 4 năm 2023, phát hiện 3 rủi ro thông tin, tất cả đều chưa được khắc phục:
Một vấn đề ủy quyền, cho phép bất kỳ ai gửi phí vào tài khoản đối tác.
Một hàm đã bị ngừng sử dụng nhưng vẫn được tham chiếu, gây ra sự dư thừa mã.
Vấn đề hiển thị UI trong dữ liệu NFT.
Những vấn đề này chủ yếu liên quan đến quy chuẩn mã, rủi ro tương đối thấp.
Tầm quan trọng của kiểm toán mã
Kiểm toán rất quan trọng đối với sự an toàn của dự án. Những dự án không trải qua kiểm toán mã có thể tồn tại rủi ro cao hơn. Tuy nhiên, ngay cả những dự án đã được kiểm toán bởi nhiều tổ chức, như Cetus, cũng có thể bị tấn công. Điều này cho thấy, chỉ dựa vào kiểm toán mã là không đủ.
Một số dự án DEX mới nổi đã áp dụng các biện pháp an ninh toàn diện hơn:
GMX V2 đã được 5 công ty thực hiện kiểm toán mã và ra mắt chương trình thưởng lỗ hổng lên đến 500.000 đô la.
DeGate đã được 3 công ty tiến hành kiểm toán mã nguồn, tung ra chương trình thưởng lỗi lên đến 1.11 triệu USD.
DYDX V4 được Informal Systems thực hiện kiểm tra mã và có chương trình thưởng lỗi lên đến 5 triệu USD.
Hyperliquid đã tiến hành kiểm toán mã nội bộ và có chương trình thưởng lỗ hổng lên đến 1 triệu đô la.
Kết luận
Sự cố của Cetus một lần nữa chứng minh rằng ngay cả những dự án đã qua nhiều cơ quan kiểm toán cũng có thể đối mặt với rủi ro an ninh. Đối với các dự án DeFi, việc kiểm toán nhiều bên kết hợp với chương trình thưởng lỗi hoặc cuộc thi kiểm toán có thể đảm bảo an ninh tốt hơn. Tuy nhiên, vẫn còn những vấn đề chưa được sửa chữa trong các giao thức DeFi mới nổi, đây là lý do tại sao việc tiếp tục theo dõi tình trạng kiểm toán mã của những giao thức này lại quan trọng đến vậy.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
16 thích
Phần thưởng
16
5
Đăng lại
Chia sẻ
Bình luận
0/400
PermabullPete
· 14giờ trước
Đừng mà, nhìn xem người ta đã chạy mất sau ba lần xét xử.
Cetus bị tấn công, nhiều cuộc kiểm tra mã khó đảm bảo an toàn tuyệt đối.
Cetus bị tấn công, tầm quan trọng của việc kiểm toán an ninh mã lại được làm nổi bật
Nguyên nhân và tác động cụ thể của việc Cetus bị tấn công hiện vẫn chưa rõ ràng. Hãy cùng nhìn lại tình hình kiểm toán an ninh mã nguồn của Cetus.
Mặc dù người dùng thông thường có thể khó hiểu các chi tiết kỹ thuật cụ thể, nhưng chúng ta có thể có cái nhìn tổng quát về tình hình thông qua tóm tắt kiểm toán.
Báo cáo kiểm toán mã của Cetus
GitHub của Cetus đã liệt kê 5 báo cáo kiểm toán mã, đến từ MoveBit, OtterSec và Zellic. Các cơ quan kiểm toán này đều tập trung vào kiểm toán mã ngôn ngữ Move, điều này rất quan trọng đối với hệ sinh thái chuỗi công khai mới nổi như Aptos và SUI. Do cuộc tấn công lần này xảy ra trên chuỗi SUI, chúng tôi sẽ tập trung vào các báo cáo kiểm toán liên quan đến chuỗi SUI.
Báo cáo kiểm toán của MoveBit
Báo cáo kiểm toán của MoveBit đã được tải lên GitHub vào ngày 28 tháng 4 năm 2023. Báo cáo này đã phát hiện tổng cộng 18 vấn đề rủi ro, bao gồm 1 rủi ro nghiêm trọng, 2 rủi ro chính, 3 rủi ro vừa và 12 rủi ro nhẹ. Đáng chú ý là tất cả những vấn đề này đã được giải quyết.
Báo cáo kiểm toán của OtterSec
Báo cáo kiểm toán của OtterSec đã được tải lên vào ngày 12 tháng 5 năm 2023. Báo cáo phát hiện 1 vấn đề rủi ro cao, 1 vấn đề rủi ro trung bình và 7 vấn đề rủi ro thông tin. Vấn đề rủi ro cao và trung bình đã được giải quyết, trong khi 2 trong số các rủi ro thông tin đã được giải quyết, 2 cái đã được gửi bản vá sửa lỗi, còn 3 cái chưa được giải quyết.
Những rủi ro thông tin chưa được giải quyết bao gồm:
Báo cáo kiểm toán của Zellic
Báo cáo kiểm toán của Zellic được tải lên vào tháng 4 năm 2023, phát hiện 3 rủi ro thông tin, tất cả đều chưa được khắc phục:
Những vấn đề này chủ yếu liên quan đến quy chuẩn mã, rủi ro tương đối thấp.
Tầm quan trọng của kiểm toán mã
Kiểm toán rất quan trọng đối với sự an toàn của dự án. Những dự án không trải qua kiểm toán mã có thể tồn tại rủi ro cao hơn. Tuy nhiên, ngay cả những dự án đã được kiểm toán bởi nhiều tổ chức, như Cetus, cũng có thể bị tấn công. Điều này cho thấy, chỉ dựa vào kiểm toán mã là không đủ.
Một số dự án DEX mới nổi đã áp dụng các biện pháp an ninh toàn diện hơn:
Kết luận
Sự cố của Cetus một lần nữa chứng minh rằng ngay cả những dự án đã qua nhiều cơ quan kiểm toán cũng có thể đối mặt với rủi ro an ninh. Đối với các dự án DeFi, việc kiểm toán nhiều bên kết hợp với chương trình thưởng lỗi hoặc cuộc thi kiểm toán có thể đảm bảo an ninh tốt hơn. Tuy nhiên, vẫn còn những vấn đề chưa được sửa chữa trong các giao thức DeFi mới nổi, đây là lý do tại sao việc tiếp tục theo dõi tình trạng kiểm toán mã của những giao thức này lại quan trọng đến vậy.