Cetus alerta de segurança: auditoria de código não é uma garantia absoluta, projetos de Finanças Descentralizadas precisam fortalecer a Gestão de risco
Revisão do incidente de segurança do Cetus e análise da auditoria de código
Recentemente, o DEX Cetus da ecosistema SUI foi atacado, gerando uma nova preocupação na indústria sobre a segurança dos projetos DeFi. Este artigo revisará a situação da auditoria de segurança do código do Cetus e discutirá o impacto da auditoria de código na segurança dos projetos DeFi.
Situação da auditoria de código da Cetus
A Cetus publicou vários relatórios de auditoria de código no Github, principalmente de três instituições: MoveBit, OtterSec e Zellic. Como este ataque ocorreu na cadeia SUI, focamos nos resultados da auditoria relacionados à cadeia SUI.
Relatório de Auditoria MoveBit
O relatório de auditoria do MoveBit foi enviado em 28 de abril de 2023, tendo sido encontrados um total de 18 problemas de risco:
1 risco mortal
2 principais riscos
3 riscos moderados
12 riscos leves
É importante notar que essas questões foram todas resolvidas.
Relatório de Auditoria OtterSec
O relatório de auditoria da OtterSec foi carregado em 12 de maio de 2023, encontrando os seguintes problemas:
1 questão de alto risco (resolvida)
1 problema de risco moderado (resolvido)
7 riscos informativos (2 resolvidos, 2 com patches de correção submetidos, 3 em espera)
Os riscos informativos não totalmente resolvidos incluem:
A versão do código SUI é inconsistente com a do Aptos, o que pode afetar o cálculo do preço do pool de liquidez.
Falta validação do estado de pausa, o que pode permitir transações mesmo em estado de pausa.
Durante transações de grande valor, pode ocorrer uma sobrecarga na conversão de tipo de u256 para u64.
Relatório de Auditoria Zellic
O relatório de auditoria da Zellic encontrou 3 riscos informativos, que não foram corrigidos:
Problema de autorização de função, permitindo que qualquer pessoa deposite taxas na conta do parceiro.
Existem funções obsoletas que ainda estão a ser referenciadas, causando redundância no código.
O tipo de dados complexo TypeName foi usado nos dados exibidos do NFT
Estas questões dizem respeito principalmente à conformidade do código, com risco relativamente baixo.
Auditoria de Código e Segurança do Projeto
O caso da Cetus mostra que mesmo projetos auditados por várias instituições podem ser alvo de ataques. Isso nos lembra que, embora a auditoria de código seja importante, não é uma garantia de segurança infalível.
Comparar as medidas de segurança de alguns novos projetos DEX:
GMX V2: 5 empresas auditadas, recompensa máxima de 500 mil dólares por vulnerabilidade
DeGate: 35 empresas auditadas, prêmio máximo de 111 mil dólares por vulnerabilidade
DYDX V4: auditado pela Informal Systems, com um prêmio de até 5 milhões de dólares por vulnerabilidades.
Hyperliquid: auditoria independente, prémio de até 1 milhão de dólares por falha
UniversalX: Auditoria dupla da Certik e Slow Mist
GMGN: Relatório de auditoria não divulgado, mas há um programa de recompensa por vulnerabilidades de até 10.000 dólares.
Conclusão
A auditoria de múltiplas partes, juntamente com um elevado plano de recompensas por vulnerabilidades, pode aumentar a segurança do projeto até certo ponto. No entanto, os novos protocolos DeFi ainda podem ter riscos de segurança não corrigidos. Assim, os investidores devem prestar especial atenção à auditoria de código e às medidas de segurança ao participar de novos projetos.
Para os projetos DeFi, a auditoria de segurança contínua e a correção oportuna de vulnerabilidades são essenciais. Além disso, estabelecer um mecanismo de gestão de riscos eficaz, incluindo planos de resposta a emergências, é uma medida necessária para garantir a operação estável e de longo prazo do projeto.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
23 gostos
Recompensa
23
5
Republicar
Partilhar
Comentar
0/400
TideReceder
· 16h atrás
Após tantas auditorias, ainda assim fui hackeado! Moratória!
Ver originalResponder0
MEVictim
· 08-15 01:30
Ai, aconteceu outra coisa!
Ver originalResponder0
BackrowObserver
· 08-14 01:14
Código forte significa que a vida não é dura o suficiente.
Ver originalResponder0
Rugpull幸存者
· 08-14 01:12
Faz com que um CEO saia e escreva um longo texto.
Ver originalResponder0
GateUser-74b10196
· 08-14 00:55
Mais uma vez o familiar drama de vulnerabilidades de segurança
Cetus alerta de segurança: auditoria de código não é uma garantia absoluta, projetos de Finanças Descentralizadas precisam fortalecer a Gestão de risco
Revisão do incidente de segurança do Cetus e análise da auditoria de código
Recentemente, o DEX Cetus da ecosistema SUI foi atacado, gerando uma nova preocupação na indústria sobre a segurança dos projetos DeFi. Este artigo revisará a situação da auditoria de segurança do código do Cetus e discutirá o impacto da auditoria de código na segurança dos projetos DeFi.
Situação da auditoria de código da Cetus
A Cetus publicou vários relatórios de auditoria de código no Github, principalmente de três instituições: MoveBit, OtterSec e Zellic. Como este ataque ocorreu na cadeia SUI, focamos nos resultados da auditoria relacionados à cadeia SUI.
Relatório de Auditoria MoveBit
O relatório de auditoria do MoveBit foi enviado em 28 de abril de 2023, tendo sido encontrados um total de 18 problemas de risco:
É importante notar que essas questões foram todas resolvidas.
Relatório de Auditoria OtterSec
O relatório de auditoria da OtterSec foi carregado em 12 de maio de 2023, encontrando os seguintes problemas:
Os riscos informativos não totalmente resolvidos incluem:
Relatório de Auditoria Zellic
O relatório de auditoria da Zellic encontrou 3 riscos informativos, que não foram corrigidos:
Estas questões dizem respeito principalmente à conformidade do código, com risco relativamente baixo.
Auditoria de Código e Segurança do Projeto
O caso da Cetus mostra que mesmo projetos auditados por várias instituições podem ser alvo de ataques. Isso nos lembra que, embora a auditoria de código seja importante, não é uma garantia de segurança infalível.
Comparar as medidas de segurança de alguns novos projetos DEX:
Conclusão
A auditoria de múltiplas partes, juntamente com um elevado plano de recompensas por vulnerabilidades, pode aumentar a segurança do projeto até certo ponto. No entanto, os novos protocolos DeFi ainda podem ter riscos de segurança não corrigidos. Assim, os investidores devem prestar especial atenção à auditoria de código e às medidas de segurança ao participar de novos projetos.
Para os projetos DeFi, a auditoria de segurança contínua e a correção oportuna de vulnerabilidades são essenciais. Além disso, estabelecer um mecanismo de gestão de riscos eficaz, incluindo planos de resposta a emergências, é uma medida necessária para garantir a operação estável e de longo prazo do projeto.