Cetus遭受攻击，代码安全审计的重要性再次凸显

Cetus遭受攻击的具体原因和影响目前尚不明确。让我们首先回顾一下Cetus的代码安全审计情况。

虽然普通用户可能难以理解具体的技术细节，但我们可以通过审计摘要来大致了解情况。

Cetus的代码审计报告

Cetus的GitHub上列出了5份代码审计报告，分别来自MoveBit、OtterSec和Zellic。这些审计机构都专注于Move语言代码审计，这对Aptos和SUI等新兴公链生态系统至关重要。由于本次攻击发生在SUI链上，我们将重点关注SUI链相关的审计报告。

MoveBit的审计报告

MoveBit的审计报告于2023年4月28日上传至GitHub。该报告共发现18个风险问题，包括1个致命风险、2个主要风险、3个中度风险和12个轻度风险。值得注意的是，所有这些问题都已得到解决。

OtterSec的审计报告

OtterSec的审计报告于2023年5月12日上传。该报告发现了1个高风险问题、1个中度风险问题和7个信息性风险。高风险和中度风险问题已经解决，而信息性风险中有2个已解决，2个提交了修复补丁，还有3个未解决。

未解决的信息性风险包括：

1. SUI与Aptos版本代码不一致，可能影响流动池价格计算的准确性。
2. 缺少暂停状态验证，可能导致被暂停的流动性池仍然可以进行交易。
3. 大额交易中可能出现u256到u64的类型转换溢出，导致计算错误。

Zellic的审计报告

Zellic的审计报告上传于2023年4月，发现了3个信息性风险，均未修复：

1. 一个授权问题，允许任何人向任何合伙人账户存入费用。
2. 一个已弃用但仍被引用的函数，造成代码冗余。
3. NFT显示数据中的UI呈现问题。

这些问题主要涉及代码规范性，风险相对较低。

代码审计的重要性

审计对于项目安全至关重要。没有经过代码审计的项目可能存在较高的风险。然而，即使经过多家机构审计的项目，如Cetus，也可能遭受攻击。这说明，仅仅依靠代码审计是不够的。

一些新兴的DEX项目采取了更全面的安全措施：

• GMX V2由5家公司进行代码审计，并推出了最高500万美元的漏洞赏金计划。
• DeGate由3家公司进行代码审计，推出了最高111万美元的漏洞赏金计划。
• DYDX V4由Informal Systems进行代码审计，并有最高500万美元的漏洞赏金计划。
• Hyperliquid进行了内部代码审计，并有最高100万美元的漏洞赏金计划。

结语

Cetus的遭遇再次证明，即使经过多家机构审计的项目也可能面临安全风险。对于DeFi项目而言，多主体审计配合漏洞赏金计划或审计竞赛，可以相对更好地保障安全性。然而，新兴DeFi协议中仍存在未修复的问题，这也是为什么持续关注这些协议的代码审计情况如此重要。