# Cetusのセキュリティ事件の回顧とコード監査分析最近、SUIエコシステムのDEXであるCetusが攻撃を受け、業界内でDeFiプロジェクトの安全性に再び注目が集まりました。本稿ではCetusのコード安全監査の状況を振り返り、コード監査がDeFiプロジェクトの安全性に与える影響について考察します。## Cetusのコード監査CetusはGithubでMoveBit、OtterSec、Zellicの三つの機関からの複数のコード監査レポートを発表しました。今回の攻撃はSUIチェーン上で発生したため、私たちはSUIチェーンに関連する監査結果に重点を置いています。### MoveBit 監査レポートMoveBitの監査報告は2023年4月28日にアップロードされ、18のリスク問題が発見されました:- 1つの致命的なリスク- 2つの主要なリスク- 中程度のリスクが3つ- 12の軽度リスクこれらの問題はすでに解決されていることに注意する必要があります。### OtterSec監査レポートOtterSecの監査報告書は2023年5月12日にアップロードされ、以下の問題が発見されました:- 1つの高リスクの問題(解決済み)- 1つの中程度のリスク問題(解決済み)- 7つの情報リスク(2つは解決済み、2つは修正パッチが提出済み、3つは未処理)未完全解決の情報リスクには、次のものが含まれます:1. SUIとAptosのバージョンコードが一致しないため、流動性プールの価格計算に影響を与える可能性があります。2. 一時停止状態の検証が不足しているため、一時停止状態でも取引が可能になる可能性があります。3. 大規模取引時にu256からu64への型変換オーバーフローが発生する可能性があります### Zellic監査報告書Zellicの監査報告書では、修正されていない3つの情報リスクが発見されました:1. 関数の権限問題、誰でもパートナーアカウントに料金を預けることを許可する2. 使われなくなったがまだ参照されている関数が存在し、コードが冗長になっています。3. NFTの表示データでは、複雑なTypeNameデータ型が使用されています。これらの問題は主にコードの規範に関わり、リスクは比較的低いです。! 【SUI Ecosystem DEX #Cetus 攻撃を受けたとき、コードセキュリティ監査は本当に十分か? ](https://img-cdn.gateio.im/social/moments-fb51a86cbc2a96eb03870b729e9e1646)## コード監査とプロジェクトの安全性Cetusのケースから分かるように、複数の機関によって監査されたプロジェクトでも攻撃を受ける可能性があります。これは、コード監査が重要であるとはいえ、決して完璧な安全保障ではないことを私たちに思い出させます。新興DEXプロジェクトのセキュリティ対策の比較:1. GMX V2:5社による監査、最高500万ドルのバグ報奨金2. DeGate:35の企業監査、最大111万ドルのバグ報奨金3. DYDX V4:非公式システムによる監査を受け、最大500万ドルのバグ報奨金4. ハイパーリキッド:自主監査、最高100万ドルのバグ報奨金5. UniversalX: Certik と SlowMist のデュアル監査6. GMGN:監査報告は公表されていませんが、最高1万ドルのバグバウンティプログラムがあります。! 【SUI Ecosystem DEX #Cetus 攻撃を受けたとき、コードセキュリティ監査は本当に十分か? ](https://img-cdn.gateio.im/social/moments-96f1841400ac56dfeac5f81a81e7aa6f)! 【SUI Ecosystem DEX #Cetus 攻撃を受けたとき、コードセキュリティ監査は本当に十分か? ](https://img-cdn.gateio.im/social/moments-5965ddc6b5327a2c9932afd86bdc8ecb)! 【SUI Ecosystem DEX #Cetus 攻撃を受けたとき、コードセキュリティ監査は本当に十分か? ](https://img-cdn.gateio.im/social/moments-9001e93d1e49d0078b985b1b1df33019)## まとめ複数の監査と高額なバグ報奨金プログラムの組み合わせは、プロジェクトの安全性を一定程度向上させることができます。しかし、新興のDeFiプロトコルには未修正の安全上のリスクが存在する可能性があります。したがって、投資家は新しいプロジェクトに参加する際、そのコード監査の状況と安全対策に特に注意を払うべきです。DeFiプロジェクトにとって、継続的なセキュリティ監査と迅速なバグ修正は非常に重要です。同時に、緊急対応計画を含む適切なリスク管理メカニズムを構築することも、プロジェクトの長期的な安定した運営を保証するために必要な措置です。
Cetus安全事件警示:コード監査は絶対的な保証ではない DeFiプロジェクトはリスク管理を強化する必要がある
Cetusのセキュリティ事件の回顧とコード監査分析
最近、SUIエコシステムのDEXであるCetusが攻撃を受け、業界内でDeFiプロジェクトの安全性に再び注目が集まりました。本稿ではCetusのコード安全監査の状況を振り返り、コード監査がDeFiプロジェクトの安全性に与える影響について考察します。
Cetusのコード監査
CetusはGithubでMoveBit、OtterSec、Zellicの三つの機関からの複数のコード監査レポートを発表しました。今回の攻撃はSUIチェーン上で発生したため、私たちはSUIチェーンに関連する監査結果に重点を置いています。
MoveBit 監査レポート
MoveBitの監査報告は2023年4月28日にアップロードされ、18のリスク問題が発見されました:
これらの問題はすでに解決されていることに注意する必要があります。
OtterSec監査レポート
OtterSecの監査報告書は2023年5月12日にアップロードされ、以下の問題が発見されました:
未完全解決の情報リスクには、次のものが含まれます:
Zellic監査報告書
Zellicの監査報告書では、修正されていない3つの情報リスクが発見されました:
これらの問題は主にコードの規範に関わり、リスクは比較的低いです。
! 【SUI Ecosystem DEX #Cetus 攻撃を受けたとき、コードセキュリティ監査は本当に十分か? ](https://img-cdn.gateio.im/webp-social/moments-fb51a86cbc2a96eb03870b729e9e1646.webp)
コード監査とプロジェクトの安全性
Cetusのケースから分かるように、複数の機関によって監査されたプロジェクトでも攻撃を受ける可能性があります。これは、コード監査が重要であるとはいえ、決して完璧な安全保障ではないことを私たちに思い出させます。
新興DEXプロジェクトのセキュリティ対策の比較:
! 【SUI Ecosystem DEX #Cetus 攻撃を受けたとき、コードセキュリティ監査は本当に十分か? ](https://img-cdn.gateio.im/webp-social/moments-96f1841400ac56dfeac5f81a81e7aa6f.webp)
! 【SUI Ecosystem DEX #Cetus 攻撃を受けたとき、コードセキュリティ監査は本当に十分か? ](https://img-cdn.gateio.im/webp-social/moments-5965ddc6b5327a2c9932afd86bdc8ecb.webp)
! 【SUI Ecosystem DEX #Cetus 攻撃を受けたとき、コードセキュリティ監査は本当に十分か? ](https://img-cdn.gateio.im/webp-social/moments-9001e93d1e49d0078b985b1b1df33019.webp)
まとめ
複数の監査と高額なバグ報奨金プログラムの組み合わせは、プロジェクトの安全性を一定程度向上させることができます。しかし、新興のDeFiプロトコルには未修正の安全上のリスクが存在する可能性があります。したがって、投資家は新しいプロジェクトに参加する際、そのコード監査の状況と安全対策に特に注意を払うべきです。
DeFiプロジェクトにとって、継続的なセキュリティ監査と迅速なバグ修正は非常に重要です。同時に、緊急対応計画を含む適切なリスク管理メカニズムを構築することも、プロジェクトの長期的な安定した運営を保証するために必要な措置です。