Cetus安全事件回顾与代码审计分析

近期，SUI生态DEX Cetus遭遇攻击，引发了业内对DeFi项目安全性的再次关注。本文将对Cetus的代码安全审计情况进行回顾，并探讨代码审计对DeFi项目安全性的影响。

Cetus的代码审计情况

Cetus在Github上公布了多份代码审计报告，主要来自MoveBit、OtterSec和Zellic三家机构。由于本次攻击发生在SUI链上，我们重点关注SUI链相关的审计结果。

MoveBit审计报告

MoveBit的审计报告于2023年4月28日上传，共发现18个风险问题：

• 1个致命风险
• 2个主要风险
• 3个中度风险
• 12个轻度风险

值得注意的是，这些问题均已得到解决。

OtterSec审计报告

OtterSec的审计报告于2023年5月12日上传，发现以下问题：

• 1个高风险问题（已解决）
• 1个中度风险问题（已解决）
• 7个信息性风险（2个已解决，2个提交修复补丁，3个待处理）

未完全解决的信息性风险包括：

1. SUI与Aptos版本代码不一致，可能影响流动池价格计算
2. 缺少暂停状态验证，可能导致暂停状态下仍可交易
3. 大额交易时可能出现u256到u64的类型转换溢出

Zellic审计报告

Zellic的审计报告发现3个信息性风险，均未修复：

1. 函数授权问题，允许任何人向合伙人账户存入费用
2. 存在已弃用但仍被引用的函数，导致代码冗余
3. NFT显示数据中使用了复杂的TypeName数据类型

这些问题主要涉及代码规范性，风险相对较低。

代码审计与项目安全性

从Cetus的案例可以看出，即使经过多家机构审计的项目仍可能遭受攻击。这提醒我们，代码审计虽然重要，但并非万无一失的安全保障。

对比一些新兴DEX项目的安全措施：

1. GMX V2：5家公司审计，最高500万美元漏洞赏金
2. DeGate：35家公司审计，最高111万美元漏洞赏金
3. DYDX V4：由Informal Systems审计，最高500万美元漏洞赏金
4. Hyperliquid：自主审计，最高100万美元漏洞赏金
5. UniversalX：Certik和慢雾双重审计
6. GMGN：未公布审计报告，但有最高1万美元漏洞赏金计划

结论

多方审计配合高额漏洞赏金计划，能在一定程度上提高项目安全性。然而，新兴DeFi协议仍可能存在未修复的安全隐患。因此，投资者在参与新项目时，应特别关注其代码审计情况和安全措施。

对于DeFi项目方而言，持续的安全审计和及时的漏洞修复至关重要。同时，建立完善的风险管理机制，包括应急响应预案，也是保障项目长期稳定运行的必要措施。