Cetus遭受攻擊，代碼安全審計的重要性再次凸顯

Cetus遭受攻擊的具體原因和影響目前尚不明確。讓我們首先回顧一下Cetus的代碼安全審計情況。

雖然普通用戶可能難以理解具體的技術細節，但我們可以通過審計摘要來大致了解情況。

Cetus的代碼審計報告

Cetus的GitHub上列出了5份代碼審計報告，分別來自MoveBit、OtterSec和Zellic。這些審計機構都專注於Move語言代碼審計，這對Aptos和SUI等新興公鏈生態系統至關重要。由於本次攻擊發生在SUI鏈上，我們將重點關注SUI鏈相關的審計報告。

MoveBit的審計報告

MoveBit的審計報告於2023年4月28日上傳至GitHub。該報告共發現18個風險問題，包括1個致命風險、2個主要風險、3個中度風險和12個輕度風險。值得注意的是，所有這些問題都已得到解決。

OtterSec的審計報告

OtterSec的審計報告於2023年5月12日上傳。該報告發現了1個高風險問題、1個中度風險問題和7個信息性風險。高風險和中度風險問題已經解決，而信息性風險中有2個已解決，2個提交了修復補丁，還有3個未解決。

未解決的信息性風險包括：

1. SUI與Aptos版本代碼不一致，可能影響流動池價格計算的準確性。
2. 缺少暫停狀態驗證，可能導致被暫停的流動性池仍然可以進行交易。
3. 大額交易中可能出現u256到u64的類型轉換溢出，導致計算錯誤。

Zellic的審計報告

Zellic的審計報告上傳於2023年4月，發現了3個信息性風險，均未修復：

1. 一個授權問題，允許任何人向任何合夥人帳戶存入費用。
2. 一個已棄用但仍被引用的函數，造成代碼冗餘。
3. NFT顯示數據中的UI呈現問題。

這些問題主要涉及代碼規範性，風險相對較低。

代碼審計的重要性

審計對於項目安全至關重要。沒有經過代碼審計的項目可能存在較高的風險。然而，即使經過多家機構審計的項目，如Cetus，也可能遭受攻擊。這說明，僅僅依靠代碼審計是不夠的。

一些新興的DEX項目採取了更全面的安全措施：

• GMX V2由5家公司進行代碼審計，並推出了最高500萬美元的漏洞賞金計劃。
• DeGate由3家公司進行代碼審計，推出了最高111萬美元的漏洞賞金計劃。
• DYDX V4由Informal Systems進行代碼審計，並有最高500萬美元的漏洞賞金計劃。
• Hyperliquid進行了內部代碼審計，並有最高100萬美元的漏洞賞金計劃。

結語

Cetus的遭遇再次證明，即使經過多家機構審計的項目也可能面臨安全風險。對於DeFi項目而言，多主體審計配合漏洞賞金計劃或審計競賽，可以相對更好地保障安全性。然而，新興DeFi協議中仍存在未修復的問題，這也是爲什麼持續關注這些協議的代碼審計情況如此重要。