Cetus безопасность инцидент предупреждение: аудит кода не является абсолютной гарантией Децентрализованные финансы проекты должны усилить Управление рисками
Обзор инцидента безопасности Cetus и анализ кода аудита
В последнее время DEX Cetus экосистемы SUI подвергся атаке, что вновь вызвало внимание к безопасности DeFi проектов в отрасли. В этой статье будет рассмотрен вопрос аудита безопасности кода Cetus и исследован его влияние на безопасность DeFi проектов.
Состояние аудита кода Cetus
Cetus опубликовал несколько отчетов по аудиту кода на Github, в основном от трех организаций: MoveBit, OtterSec и Zellic. Поскольку эта атака произошла на цепочке SUI, мы уделяем особое внимание результатам аудита, связанным с цепочкой SUI.
Отчет об аудите MoveBit
Аудиторский отчет MoveBit был загружен 28 апреля 2023 года, в результате чего было выявлено 18 рискованных вопросов:
1 смертельный риск
2 основных риска
3 средней степени риска
12 легких рисков
Стоит отметить, что эти проблемы были решены.
Отчет аудита OtterSec
Аудиторский отчет OtterSec был загружен 12 мая 2023 года и выявил следующие проблемы:
Не полностью решенные информационные риски включают в себя:
Версии кода SUI и Aptos не совпадают, что может повлиять на расчет цены ликвидного пула.
Отсутствие проверки состояния приостановки может привести к тому, что сделки все еще могут быть совершены в состоянии приостановки.
При крупных сделках может произойти переполнение при преобразовании типов u256 в u64.
Отчет аудита Zellic
Аудиторский отчет Zellic выявил 3 информационных риска, которые не были устранены:
Проблема авторизации функций, позволяющая любому вносить средства на счет партнера.
Существуют устаревшие, но все еще используемые функции, что приводит к избыточности кода
В данных отображения NFT использовался сложный тип данных TypeName.
Эти вопросы в основном касаются стандартов кодирования, риски относительно невысоки.
Аудит кода и безопасность проекта
Случай с Cetus показывает, что даже проекты, прошедшие аудит в нескольких учреждениях, все равно могут подвергаться атакам. Это напоминает нам, что аудит кода важен, но не является абсолютно надежной гарантией безопасности.
Сравнение мер безопасности некоторых новых DEX проектов:
GMX V2: 5 компаний провели аудит, максимальная награда за уязвимость 5000000 долларов США
DeGate: 35 компаний провели аудит, максимальная награда за уязвимость 1,11 миллиона долларов США
DYDX V4: Аудит от Informal Systems, максимальная награда за уязвимость 5 миллионов долларов
Hyperliquid: самостоятельный аудит, максимальная награда за уязвимость 1000000 долларов США
UniversalX: Двойной аудит от Certik и SlowMist
GMGN: Аудиторский отчет не опубликован, но имеется программа вознаграждений за уязвимости до 10 000 долларов.
Вывод
Многосторонний аудит в сочетании с высокими вознаграждениями за уязвимости может в определенной степени повысить безопасность проекта. Тем не менее, новые DeFi протоколы все еще могут иметь неустраненные проблемы безопасности. Поэтому инвесторы, принимая участие в новых проектах, должны особенно обращать внимание на ситуацию с аудитом кода и мерами безопасности.
Для команд DeFi проектов крайне важно проводить постоянные аудиты безопасности и своевременно устранять уязвимости. В то же время создание эффективного механизма управления рисками, включая планы реагирования на чрезвычайные ситуации, также является необходимой мерой для обеспечения долгосрочной стабильной работы проекта.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
23 Лайков
Награда
23
7
Репост
Поделиться
комментарий
0/400
TideReceder
· 08-15 21:32
Аудит столько раз, все равно взломали. Смертная казнь отложена!
Cetus безопасность инцидент предупреждение: аудит кода не является абсолютной гарантией Децентрализованные финансы проекты должны усилить Управление рисками
Обзор инцидента безопасности Cetus и анализ кода аудита
В последнее время DEX Cetus экосистемы SUI подвергся атаке, что вновь вызвало внимание к безопасности DeFi проектов в отрасли. В этой статье будет рассмотрен вопрос аудита безопасности кода Cetus и исследован его влияние на безопасность DeFi проектов.
Состояние аудита кода Cetus
Cetus опубликовал несколько отчетов по аудиту кода на Github, в основном от трех организаций: MoveBit, OtterSec и Zellic. Поскольку эта атака произошла на цепочке SUI, мы уделяем особое внимание результатам аудита, связанным с цепочкой SUI.
Отчет об аудите MoveBit
Аудиторский отчет MoveBit был загружен 28 апреля 2023 года, в результате чего было выявлено 18 рискованных вопросов:
Стоит отметить, что эти проблемы были решены.
Отчет аудита OtterSec
Аудиторский отчет OtterSec был загружен 12 мая 2023 года и выявил следующие проблемы:
Не полностью решенные информационные риски включают в себя:
Отчет аудита Zellic
Аудиторский отчет Zellic выявил 3 информационных риска, которые не были устранены:
Эти вопросы в основном касаются стандартов кодирования, риски относительно невысоки.
Аудит кода и безопасность проекта
Случай с Cetus показывает, что даже проекты, прошедшие аудит в нескольких учреждениях, все равно могут подвергаться атакам. Это напоминает нам, что аудит кода важен, но не является абсолютно надежной гарантией безопасности.
Сравнение мер безопасности некоторых новых DEX проектов:
Вывод
Многосторонний аудит в сочетании с высокими вознаграждениями за уязвимости может в определенной степени повысить безопасность проекта. Тем не менее, новые DeFi протоколы все еще могут иметь неустраненные проблемы безопасности. Поэтому инвесторы, принимая участие в новых проектах, должны особенно обращать внимание на ситуацию с аудитом кода и мерами безопасности.
Для команд DeFi проектов крайне важно проводить постоянные аудиты безопасности и своевременно устранять уязвимости. В то же время создание эффективного механизма управления рисками, включая планы реагирования на чрезвычайные ситуации, также является необходимой мерой для обеспечения долгосрочной стабильной работы проекта.