В последнее время децентрализованная биржа Cetus в экосистеме SUI подверглась атаке, что вновь привлекло внимание к важности аудита безопасности кода в отрасли. Хотя конкретные причины и последствия атаки пока неясны, мы можем начать с истории аудита безопасности кода Cetus, чтобы обсудить этот вопрос.
Cetus прошла аудит кода несколькими учреждениями. Известная аудиторская компания показала, что в результате аудита Cetus были выявлены только 2 незначительных риска и 9 информационных рисков, большинство из которых уже было устранено. Комплексная оценка, выданная этой организацией, составила 83,06, а оценка аудита кода достигла 96 баллов.
Тем не менее, в пяти аудиторских отчетах, опубликованных Cetus на своем официальном Github, не содержатся результаты аудита вышеупомянутых организаций. Эти пять отчетов были подготовлены MoveBit, OtterSec и Zellic и касаются аудита кода Cetus на цепочках Aptos и SUI. Поскольку эта атака произошла на цепочке SUI, мы уделяем особое внимание аудиторским отчетам, связанным с цепочкой SUI.
Аудиторский отчет MoveBit выявил 18 рисковых проблем, включая 1 критический риск, 2 основных риска, 3 умеренных риска и 12 незначительных риска. Согласно отчету, все эти проблемы были решены.
Аудиторский отчет OtterSec выявил 1 высокорисковую проблему, 1 умеренно рискованную проблему и 7 информационных рисков. Высокие и умеренные рисковые проблемы были решены, из 2 информационных рисков 2 были решены, 2 были представлены с исправляющими патчами, а 3 остаются нерешенными. Эти нерешенные проблемы касаются согласованности кода, проверки состояния приостановки и преобразования типов данных.
Аудиторский отчет Zellic выявил 3 информационных риска, в основном связанных с авторизацией функций, избыточностью кода и выбором типов данных, общий риск относительно низкий.
Стоит отметить, что три аудиторские компании – MoveBit, OtterSec и Zellic – обладают профессиональными преимуществами в области аудита кода на языке Move, что особенно важно для обеспечения безопасности проектов на не-EVM цепях.
Сравнивая меры безопасности некоторых новых DEX проектов, мы можем заметить тенденцию: многократные аудиты в сочетании с программами вознаграждений за уязвимости становятся основным методом. Например, один DEX проект нанял 5 компаний для аудита кода и запустил программу вознаграждений за уязвимости на сумму до 5 миллионов долларов. В другом проекте аудит проводили 3 известных компании, при этом была установлена программа вознаграждений за уязвимости на сумму 1,11 миллиона долларов.
Эти случаи показывают, что даже такие проекты, как Cetus, которые были проверены несколькими организациями, могут подвергаться атакам. Поэтому применение многосубъектного аудита, дополненного программами вознаграждения за уязвимости или конкурсами по аудиту, может относительно лучше обеспечить безопасность проекта. Однако для новых DeFi протоколов, даже если проблемы, обнаруженные в ходе аудита, еще не были полностью исправлены, могут по различным причинам решиться на запуск. Вот почему инвесторы должны особенно внимательно следить за аудитом кода новых проектов.
В общем, аудит кода является важной гарантией безопасности проекта, но не дает абсолютной защиты. Команда проекта должна постоянно следить за вопросами безопасности, а инвесторы также должны быть настороже в отношении мер безопасности проекта. В быстро развивающейся сфере криптовалют безопасность всегда остается темой, требующей внимания.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
22 Лайков
Награда
22
8
Репост
Поделиться
комментарий
0/400
GasWastingMaximalist
· 23ч назад
Как так высока оценка аудита, а уязвимости все еще есть? Даже собака не поверит.
Посмотреть ОригиналОтветить0
CryptoMotivator
· 08-08 05:49
Аудиторский отчет может быть полезен!
Посмотреть ОригиналОтветить0
Rekt_Recovery
· 08-06 07:48
ngmi семья... несколько аудитов все равно привели к потере
Посмотреть ОригиналОтветить0
BTCBeliefStation
· 08-06 07:46
Судили без причины?
Посмотреть ОригиналОтветить0
ForkMonger
· 08-06 07:46
новый день, новый взлом... оценки аудита ничего не значат frfr
Cetus подвергся атаке. Многоуровневый аудит и награда за баг становятся новой тенденцией безопасности DEX.
Мысли о безопасности, вызванные атакой на Cetus
В последнее время децентрализованная биржа Cetus в экосистеме SUI подверглась атаке, что вновь привлекло внимание к важности аудита безопасности кода в отрасли. Хотя конкретные причины и последствия атаки пока неясны, мы можем начать с истории аудита безопасности кода Cetus, чтобы обсудить этот вопрос.
Cetus прошла аудит кода несколькими учреждениями. Известная аудиторская компания показала, что в результате аудита Cetus были выявлены только 2 незначительных риска и 9 информационных рисков, большинство из которых уже было устранено. Комплексная оценка, выданная этой организацией, составила 83,06, а оценка аудита кода достигла 96 баллов.
Тем не менее, в пяти аудиторских отчетах, опубликованных Cetus на своем официальном Github, не содержатся результаты аудита вышеупомянутых организаций. Эти пять отчетов были подготовлены MoveBit, OtterSec и Zellic и касаются аудита кода Cetus на цепочках Aptos и SUI. Поскольку эта атака произошла на цепочке SUI, мы уделяем особое внимание аудиторским отчетам, связанным с цепочкой SUI.
Аудиторский отчет MoveBit выявил 18 рисковых проблем, включая 1 критический риск, 2 основных риска, 3 умеренных риска и 12 незначительных риска. Согласно отчету, все эти проблемы были решены.
Аудиторский отчет OtterSec выявил 1 высокорисковую проблему, 1 умеренно рискованную проблему и 7 информационных рисков. Высокие и умеренные рисковые проблемы были решены, из 2 информационных рисков 2 были решены, 2 были представлены с исправляющими патчами, а 3 остаются нерешенными. Эти нерешенные проблемы касаются согласованности кода, проверки состояния приостановки и преобразования типов данных.
Аудиторский отчет Zellic выявил 3 информационных риска, в основном связанных с авторизацией функций, избыточностью кода и выбором типов данных, общий риск относительно низкий.
Стоит отметить, что три аудиторские компании – MoveBit, OtterSec и Zellic – обладают профессиональными преимуществами в области аудита кода на языке Move, что особенно важно для обеспечения безопасности проектов на не-EVM цепях.
Сравнивая меры безопасности некоторых новых DEX проектов, мы можем заметить тенденцию: многократные аудиты в сочетании с программами вознаграждений за уязвимости становятся основным методом. Например, один DEX проект нанял 5 компаний для аудита кода и запустил программу вознаграждений за уязвимости на сумму до 5 миллионов долларов. В другом проекте аудит проводили 3 известных компании, при этом была установлена программа вознаграждений за уязвимости на сумму 1,11 миллиона долларов.
Эти случаи показывают, что даже такие проекты, как Cetus, которые были проверены несколькими организациями, могут подвергаться атакам. Поэтому применение многосубъектного аудита, дополненного программами вознаграждения за уязвимости или конкурсами по аудиту, может относительно лучше обеспечить безопасность проекта. Однако для новых DeFi протоколов, даже если проблемы, обнаруженные в ходе аудита, еще не были полностью исправлены, могут по различным причинам решиться на запуск. Вот почему инвесторы должны особенно внимательно следить за аудитом кода новых проектов.
В общем, аудит кода является важной гарантией безопасности проекта, но не дает абсолютной защиты. Команда проекта должна постоянно следить за вопросами безопасности, а инвесторы также должны быть настороже в отношении мер безопасности проекта. В быстро развивающейся сфере криптовалют безопасность всегда остается темой, требующей внимания.