Cảnh báo sự cố an toàn Cetus: Kiểm toán mã không phải là bảo đảm tuyệt đối, các dự án DeFi cần tăng cường quản lý rủi ro

2025-08-14 00:47:19

Đang tạo bản tóm tắt

Tổng quan sự kiện an toàn Cetus và phân tích kiểm tra mã

Gần đây, DEX Cetus trong hệ sinh thái SUI đã bị tấn công, gây ra sự quan tâm trở lại của ngành về tính an toàn của các dự án DeFi. Bài viết này sẽ xem xét tình hình kiểm toán an toàn mã nguồn của Cetus và thảo luận về ảnh hưởng của việc kiểm toán mã nguồn đối với tính an toàn của các dự án DeFi.

Tình hình kiểm toán mã của Cetus

Cetus đã công bố nhiều báo cáo kiểm toán mã trên Github, chủ yếu đến từ ba tổ chức là MoveBit, OtterSec và Zellic. Do cuộc tấn công lần này xảy ra trên chuỗi SUI, chúng tôi tập trung vào kết quả kiểm toán liên quan đến chuỗi SUI.

Báo cáo kiểm toán MoveBit

Báo cáo kiểm toán của MoveBit đã được tải lên vào ngày 28 tháng 4 năm 2023, phát hiện tổng cộng 18 vấn đề rủi ro:

1 rủi ro chết người
2 rủi ro chính
3 mức độ rủi ro trung bình
12 rủi ro nhẹ

Cần lưu ý rằng tất cả những vấn đề này đã được giải quyết.

Báo cáo kiểm toán OtterSec

Báo cáo kiểm toán của OtterSec được tải lên vào ngày 12 tháng 5 năm 2023, phát hiện các vấn đề sau:

1 vấn đề rủi ro cao (đã được giải quyết)
1 vấn đề rủi ro trung bình (đã được giải quyết)
7 rủi ro thông tin (2 đã được giải quyết, 2 đã nộp bản sửa lỗi, 3 đang chờ xử lý)

Những rủi ro thông tin chưa được giải quyết hoàn toàn bao gồm:

Mã phiên bản SUI không nhất quán với Aptos, có thể ảnh hưởng đến việc tính toán giá của bể thanh khoản.
Thiếu xác thực trạng thái tạm dừng, có thể dẫn đến việc vẫn có thể giao dịch khi ở trạng thái tạm dừng
Trong giao dịch lớn có thể xảy ra tràn kiểu chuyển đổi từ u256 sang u64.

Báo cáo kiểm toán Zellic

Báo cáo kiểm toán của Zellic phát hiện 3 rủi ro thông tin, tất cả đều chưa được khắc phục:

Vấn đề ủy quyền chức năng, cho phép bất kỳ ai gửi phí vào tài khoản đối tác.
Có những hàm đã bị bỏ nhưng vẫn được tham chiếu, dẫn đến mã thừa.
Dữ liệu hiển thị NFT sử dụng kiểu dữ liệu TypeName phức tạp

Các vấn đề này chủ yếu liên quan đến tính quy chuẩn của mã, rủi ro tương đối thấp.

Kiểm toán mã và độ an toàn của dự án

Từ trường hợp của Cetus, có thể thấy rằng ngay cả những dự án đã trải qua kiểm toán của nhiều tổ chức cũng có thể bị tấn công. Điều này nhắc nhở chúng ta rằng, mặc dù kiểm toán mã là quan trọng, nhưng không phải là một bảo đảm an toàn tuyệt đối.

So sánh các biện pháp an ninh của một số dự án DEX mới nổi:

GMX V2: 5 công ty kiểm toán, tiền thưởng lỗi tối đa 500 triệu đô la.
DeGate: 35 công ty kiểm toán, phần thưởng lỗ hổng cao nhất 1.11 triệu đô la
DYDX V4: Được kiểm toán bởi Informal Systems, với phần thưởng cho lỗ hổng lên đến 5 triệu đô la.
Hyperliquid: Kiểm toán tự chủ, phần thưởng lỗi tối đa 1 triệu đô la
UniversalX: Kiểm toán kép bởi Certik và Slow Mist
GMGN: Chưa công bố báo cáo kiểm toán, nhưng có chương trình thưởng lỗi lên đến 10.000 USD.

Kết luận

Nhiều cuộc kiểm toán phối hợp với chương trình thưởng lỗi cao có thể nâng cao mức độ an toàn của dự án ở một mức độ nhất định. Tuy nhiên, các giao thức DeFi mới nổi vẫn có thể tồn tại những rủi ro an ninh chưa được khắc phục. Do đó, nhà đầu tư khi tham gia vào các dự án mới nên đặc biệt chú ý đến tình hình kiểm toán mã nguồn và các biện pháp an toàn.

Đối với các dự án DeFi, việc kiểm toán an ninh liên tục và sửa chữa lỗ hổng kịp thời là rất quan trọng. Đồng thời, việc thiết lập cơ chế quản lý rủi ro hoàn chỉnh, bao gồm các kế hoạch ứng phó khẩn cấp, cũng là các biện pháp cần thiết để đảm bảo sự hoạt động ổn định lâu dài của dự án.

CETUS1.06%

DEFI-3.28%

Xem bản gốc

Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.

23 thích