Огляд інцидентів безпеки Cetus та аналіз аудиту коду
Нещодавно, екосистема DEX SUI Cetus зазнала атаки, що викликало нову увагу до безпеки DeFi проектів в галузі. У цій статті буде розглянуто ситуацію з аудитом коду Cetus та обговорено вплив аудиту коду на безпеку DeFi проектів.
Стан аудиту коду Cetus
Cetus опублікував на Github кілька звітів про аудит коду, в основному від трьох організацій: MoveBit, OtterSec та Zellic. Оскільки атака сталася на ланцюзі SUI, ми зосереджуємося на результатах аудиту, пов'язаних з ланцюгом SUI.
Звіт аудиту MoveBit
Аудиторський звіт MoveBit був завантажений 28 квітня 2023 року, в якому було виявлено 18 ризикових проблем:
1 смертельний ризик
2 основні ризики
3 середні ризики
12 легких ризиків
Слід зазначити, що ці проблеми вже вирішені.
Звіт аудиту OtterSec
Аудиторський звіт OtterSec був завантажений 12 травня 2023 року, виявлено такі проблеми:
1 високо ризикова проблема (вже вирішена)
1 помірний ризик питання (вирішено)
7 інформаційних ризиків (2 вирішено, 2 подано патч на виправлення, 3 в обробці)
Невідповідність версій коду SUI та Aptos може вплинути на розрахунок цін у ліквідних пулах.
Відсутність перевірки стану паузи може призвести до того, що торгівля все ще буде можлива в стані паузи.
При великих транзакціях може виникнути переповнення перетворення з u256 в u64
Звіт аудитора Zellic
Аудиторський звіт Zellic виявив 3 інформаційні ризики, які не були усунуті:
Проблема авторизації функцій, що дозволяє будь-кому вносити кошти на рахунок партнера.
Існують застарілі, але все ще використовувані функції, що призводить до надмірності коду
У даних, що відображаються в NFT, використовується складний тип даних TypeName.
Ці питання в основному стосуються стандартів кодування, ризик відносно низький.
Аудит коду та безпека проєкту
З прикладу Cetus видно, що навіть проекти, які пройшли аудит кількох установ, все ще можуть піддаватися атакам. Це нагадує нам, що аудит коду, хоча й важливий, не є абсолютно надійною гарантією безпеки.
Порівняння заходів безпеки деяких нових DEX проектів:
GMX V2: 5 компаній перевірено, максимальна винагорода за вразливість 5000000 доларів
DeGate: 35 компаній провели аудит, максимальна винагорода за вразливість 111 тисяч доларів США
DYDX V4: аудиторія Informal Systems, максимальна винагорода за вразливості 5 мільйонів доларів
Hyperliquid: самостійний аудит, максимальна винагорода за вразливості 1 000 000 доларів США
UniversalX: Подвійний аудит Certik і Slow Mist
GMGN: Не оприлюднено звіт аудиту, але є програма винагороди за вразливості до 10000 доларів.
Висновок
Масштабний аудит у поєднанні з високими програмами винагород за вразливості можуть певною мірою підвищити безпеку проекту. Проте нові DeFi протоколи все ще можуть мати невиправлені проблеми безпеки. Тому інвесторам варто особливо звертати увагу на аудит коду та заходи безпеки під час участі в нових проектах.
Для проектів DeFi безперервний аудит безпеки та своєчасне усунення вразливостей є вкрай важливими. Одночасно, створення досконалої системи управління ризиками, включаючи плани реагування на надзвичайні ситуації, також є необхідними заходами для забезпечення тривалої стабільної роботи проекту.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
23 лайків
Нагородити
23
5
Репост
Поділіться
Прокоментувати
0/400
TideReceder
· 08-15 21:32
Аудит стільки всього, все одно зламано! Смертельний затримка!
Переглянути оригіналвідповісти на0
MEVictim
· 08-15 01:30
Ай, знову сталася проблема.
Переглянути оригіналвідповісти на0
BackrowObserver
· 08-14 01:14
Код потужний, але життя недостатньо міцне.
Переглянути оригіналвідповісти на0
Rugpull幸存者
· 08-14 01:12
вийдіть на CEO і напишіть довгий пост
Переглянути оригіналвідповісти на0
GateUser-74b10196
· 08-14 00:55
Знову бачу знайомий сценарій з уразливістю безпеки
Cetus безпекова подія: аудит коду не є абсолютною гарантією, проєкти DeFi повинні зміцнити управління ризиками
Огляд інцидентів безпеки Cetus та аналіз аудиту коду
Нещодавно, екосистема DEX SUI Cetus зазнала атаки, що викликало нову увагу до безпеки DeFi проектів в галузі. У цій статті буде розглянуто ситуацію з аудитом коду Cetus та обговорено вплив аудиту коду на безпеку DeFi проектів.
Стан аудиту коду Cetus
Cetus опублікував на Github кілька звітів про аудит коду, в основному від трьох організацій: MoveBit, OtterSec та Zellic. Оскільки атака сталася на ланцюзі SUI, ми зосереджуємося на результатах аудиту, пов'язаних з ланцюгом SUI.
Звіт аудиту MoveBit
Аудиторський звіт MoveBit був завантажений 28 квітня 2023 року, в якому було виявлено 18 ризикових проблем:
Слід зазначити, що ці проблеми вже вирішені.
Звіт аудиту OtterSec
Аудиторський звіт OtterSec був завантажений 12 травня 2023 року, виявлено такі проблеми:
Неповністю вирішені інформаційні ризики включають:
Звіт аудитора Zellic
Аудиторський звіт Zellic виявив 3 інформаційні ризики, які не були усунуті:
Ці питання в основному стосуються стандартів кодування, ризик відносно низький.
Аудит коду та безпека проєкту
З прикладу Cetus видно, що навіть проекти, які пройшли аудит кількох установ, все ще можуть піддаватися атакам. Це нагадує нам, що аудит коду, хоча й важливий, не є абсолютно надійною гарантією безпеки.
Порівняння заходів безпеки деяких нових DEX проектів:
Висновок
Масштабний аудит у поєднанні з високими програмами винагород за вразливості можуть певною мірою підвищити безпеку проекту. Проте нові DeFi протоколи все ще можуть мати невиправлені проблеми безпеки. Тому інвесторам варто особливо звертати увагу на аудит коду та заходи безпеки під час участі в нових проектах.
Для проектів DeFi безперервний аудит безпеки та своєчасне усунення вразливостей є вкрай важливими. Одночасно, створення досконалої системи управління ризиками, включаючи плани реагування на надзвичайні ситуації, також є необхідними заходами для забезпечення тривалої стабільної роботи проекту.