مؤخراً، تعرضت DEX Cetus في نظام SUI الإيكولوجي لهجوم، مما أثار مرة أخرى اهتمام الصناعة بسلامة مشاريع DeFi. ستستعرض هذه المقالة حالة تدقيق أمان كود Cetus، وتبحث في تأثير تدقيق الكود على سلامة مشاريع DeFi.
حالة تدقيق كود Cetus
نشرت Cetus عدة تقارير تدقيق كود على Github، جاء معظمها من ثلاث مؤسسات هي MoveBit وOtterSec وZellic. نظرًا لأن هذا الهجوم وقع على سلسلة SUI، فإننا نركز بشكل خاص على نتائج التدقيق المتعلقة بسلسلة SUI.
تقرير تدقيق MoveBit
تم رفع تقرير التدقيق الخاص بـ MoveBit في 28 أبريل 2023، وتم اكتشاف 18 مشكلة مخاطر.
1 خطر مميت
خطرين رئيسيين
٣ مخاطر متوسطة
12 مخاطرة خفيفة
من الجدير بالذكر أن هذه المشكلات قد تم حلها جميعًا.
تقرير تدقيق OtterSec
تم تحميل تقرير تدقيق OtterSec في 12 مايو 2023، واكتشف المشاكل التالية:
1 مشكلة عالية المخاطر (تم حلها)
1 مشكلة متوسطة المخاطر (تم حلها)
7 مخاطر معلوماتية (تم حل 2 منها، تم تقديم تصحيحات لـ 2، و3 قيد المعالجة)
تشمل المخاطر المعلوماتية التي لم يتم حلها بالكامل:
قد يؤثر عدم توافق نسخة الشيفرة بين SUI و Aptos على حساب أسعار تجمع السيولة.
عدم وجود تحقق من حالة التوقف قد يؤدي إلى إمكانية التداول حتى في حالة التوقف.
قد يحدث تجاوز في تحويل النوع من u256 إلى u64 أثناء المعاملات الكبيرة.
تقرير تدقيق Zellic
وجدت تقرير تدقيق Zellic ثلاثة مخاطر معلوماتية، ولم يتم إصلاحها جميعًا:
مشكلة تفويض الدالة، تسمح لأي شخص بإيداع الرسوم في حساب الشريك
توجد دوال قديمة لم تعد مستخدمة ولكن لا تزال يتم الإشارة إليها، مما يؤدي إلى ازدواجية في الشيفرة
تم استخدام نوع البيانات المعقدة TypeName في بيانات عرض NFT
تتعلق هذه المشكلات بشكل أساسي بمعايير الكود ، وتعتبر المخاطر منخفضة نسبيًا.
تدقيق الكود وأمان المشروع
من حالة Cetus، يمكننا أن نرى أن المشاريع التي تم تدقيقها من قبل عدة مؤسسات لا تزال معرضة للهجمات. هذا يذكرنا بأن تدقيق الكود، رغم أهميته، ليس ضمانًا كاملاً للأمان.
مقارنة تدابير الأمان لبعض مشاريع DEX الناشئة:
GMX V2: 5 شركات تم التدقيق عليها، أعلى مكافأة للثغرات تصل إلى 5 ملايين دولار
DeGate: 35 شركة تدقيق، أعلى مكافأة لثغرات بقيمة 1,110,000 دولار أمريكي
DYDX V4: تم تدقيقه بواسطة أنظمة غير رسمية، وأعلى مكافأة للثغرات تصل إلى 5 ملايين دولار
Hyperliquid: تدقيق ذاتي، مكافأة قصوى بقيمة 1,000,000 دولار للثغرات
UniversalX: تدقيق مزدوج من Certik وSlow Mist
GMGN: لم يتم نشر تقرير التدقيق، ولكن هناك برنامج مكافآت ثغرات يصل إلى 10000 دولار أمريكي
الاستنتاج
تساعد عمليات التدقيق المتعددة بالتعاون مع خطط مكافآت الثغرات الكبيرة في تحسين أمان المشاريع إلى حد ما. ومع ذلك، قد تحتوي بروتوكولات DeFi الناشئة على مخاطر أمان لم يتم إصلاحها بعد. لذلك، يجب على المستثمرين عند المشاركة في مشاريع جديدة أن يولوا اهتمامًا خاصًا لحالة تدقيق الأكواد والتدابير الأمنية.
بالنسبة لمشاريع DeFi، فإن التدقيق الأمني المستمر وإصلاح الثغرات بشكل سريع أمران في غاية الأهمية. في الوقت نفسه، فإن إنشاء آلية شاملة لإدارة المخاطر، بما في ذلك خطط الاستجابة للطوارئ، يعد أيضًا إجراءً ضروريًا لضمان التشغيل المستقر والطويل الأجل للمشاريع.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 23
أعجبني
23
5
إعادة النشر
مشاركة
تعليق
0/400
TideReceder
· منذ 16 س
تم التدقيق في الكثير من الأمور، ومع ذلك تم اختراقه! الموت المؤجل!
تحذير من حادثة أمان Cetus: تدقيق الشيفرة ليس ضمانًا مطلقًا، يجب على مشاريع التمويل اللامركزي تعزيز إدارة المخاطر
مراجعة أحداث أمان Cetus وتحليل تدقيق الكود
مؤخراً، تعرضت DEX Cetus في نظام SUI الإيكولوجي لهجوم، مما أثار مرة أخرى اهتمام الصناعة بسلامة مشاريع DeFi. ستستعرض هذه المقالة حالة تدقيق أمان كود Cetus، وتبحث في تأثير تدقيق الكود على سلامة مشاريع DeFi.
حالة تدقيق كود Cetus
نشرت Cetus عدة تقارير تدقيق كود على Github، جاء معظمها من ثلاث مؤسسات هي MoveBit وOtterSec وZellic. نظرًا لأن هذا الهجوم وقع على سلسلة SUI، فإننا نركز بشكل خاص على نتائج التدقيق المتعلقة بسلسلة SUI.
تقرير تدقيق MoveBit
تم رفع تقرير التدقيق الخاص بـ MoveBit في 28 أبريل 2023، وتم اكتشاف 18 مشكلة مخاطر.
من الجدير بالذكر أن هذه المشكلات قد تم حلها جميعًا.
تقرير تدقيق OtterSec
تم تحميل تقرير تدقيق OtterSec في 12 مايو 2023، واكتشف المشاكل التالية:
تشمل المخاطر المعلوماتية التي لم يتم حلها بالكامل:
تقرير تدقيق Zellic
وجدت تقرير تدقيق Zellic ثلاثة مخاطر معلوماتية، ولم يتم إصلاحها جميعًا:
تتعلق هذه المشكلات بشكل أساسي بمعايير الكود ، وتعتبر المخاطر منخفضة نسبيًا.
تدقيق الكود وأمان المشروع
من حالة Cetus، يمكننا أن نرى أن المشاريع التي تم تدقيقها من قبل عدة مؤسسات لا تزال معرضة للهجمات. هذا يذكرنا بأن تدقيق الكود، رغم أهميته، ليس ضمانًا كاملاً للأمان.
مقارنة تدابير الأمان لبعض مشاريع DEX الناشئة:
الاستنتاج
تساعد عمليات التدقيق المتعددة بالتعاون مع خطط مكافآت الثغرات الكبيرة في تحسين أمان المشاريع إلى حد ما. ومع ذلك، قد تحتوي بروتوكولات DeFi الناشئة على مخاطر أمان لم يتم إصلاحها بعد. لذلك، يجب على المستثمرين عند المشاركة في مشاريع جديدة أن يولوا اهتمامًا خاصًا لحالة تدقيق الأكواد والتدابير الأمنية.
بالنسبة لمشاريع DeFi، فإن التدقيق الأمني المستمر وإصلاح الثغرات بشكل سريع أمران في غاية الأهمية. في الوقت نفسه، فإن إنشاء آلية شاملة لإدارة المخاطر، بما في ذلك خطط الاستجابة للطوارئ، يعد أيضًا إجراءً ضروريًا لضمان التشغيل المستقر والطويل الأجل للمشاريع.