Атака на Cetus вызывает размышления о безопасности кода
Недавно децентрализованная биржа Cetus в экосистеме Sui подверглась атаке, что вызвало обсуждение эффективности аудита безопасности кода в отрасли. В настоящее время причины и последствия атаки еще не ясны, но мы можем сначала рассмотреть ситуацию с аудитом безопасности кода Cetus.
Некоторое известное агентство по безопасности провело аудит Cetus и выявило лишь 2 незначительных риска, которые уже решены, а из 9 информационных рисков 6 также было устранено. Агентство присвоило общий балл 83,06, а оценка кода достигла 96.
Тем не менее, в пяти отчетах об аудите кода, официально опубликованных Cetus, не содержатся результаты аудита вышеупомянутых учреждений. Эти пять отчетов были подготовлены тремя профессиональными организациями: MoveBit, OtterSec и Zellic, и охватывают код Cetus на цепях Aptos и Sui. Учитывая, что эта атака произошла на цепи Sui, мы сосредоточим внимание на отчетах об аудите, связанных с цепью Sui.
Аудиторский отчет MoveBit был загружен на Github 28 апреля 2023 года. В отчете было обнаружено 18 рисковых проблем, включая 1 критический риск, 2 основных риска, 3 умеренных риска и 12 незначительных риска. Стоит отметить, что все эти проблемы были решены.
Аудиторский отчет OtterSec был загружен 12 мая 2023 года. В отчете указано 1 высокая рискованная проблема, 1 умеренно рискованная проблема и 7 информационных рисков. Высокие и умеренные рискованные проблемы были решены, из 2 информационных рисков 2 были решены, 2 получили патчи для исправления, оставшиеся 3 касаются согласованности кода версий Sui и Aptos, валидации состояния приостановки и преобразования типов данных.
Аудитный отчет Zellic был загружен в апреле 2023 года. В отчете выявлено 3 информационных риска, которые в настоящее время не устранены. Эти риски в основном касаются авторизации функций, избыточности кода и выбора типов данных для отображения NFT, общий уровень риска низкий.
Стоит отметить, что MoveBit, OtterSec и Zellic являются организациями, специализирующимися на аудите кода на языке Move, что особенно важно на текущем рынке, где доминирует аудит EVM.
Обзор недавних мер безопасности некоторых новых проектов DEX показывает, что существуют определённые тенденции:
GMX V2 прошла кодовый аудит от 5 компаний и запустила программу вознаграждений за уязвимости на сумму до 5 миллионов долларов.
DeGate наняла 35 компаний для проведения аудита, максимальная сумма вознаграждения за уязвимость может составлять 1,11 миллиона долларов.
DYDX V4 был аудирован Informal Systems, также был установлен план по вознаграждению за уязвимости на сумму 5 миллионов долларов.
Hyperliquid на основе самопроверки предлагает вознаграждение в 1 миллион долларов за уязвимости.
UniversalX выбрал две известные организации для проведения аудита.
Хотя GMGN не опубликовал отчет об аудите, он учредил программу вознаграждения за уязвимости с максимальным вознаграждением в 10 000 долларов США за каждую уязвимость.
Таким образом, даже такие проекты, как Cetus, которые были проверены несколькими организациями, могут подвергаться атакам. Многосторонний аудит в сочетании с программами вознаграждений за уязвимости или конкурсами на аудит может в определенной степени повысить безопасность проекта. Тем не менее, для новых DeFi-протоколов нерешенные проблемы аудита по-прежнему заслуживают внимания. Это также объясняет, почему эксперты отрасли придают особое значение аудиту кода новых протоколов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
17 Лайков
Награда
17
8
Репост
Поделиться
комментарий
0/400
SchrodingersFOMO
· 15ч назад
Аудит такой высокий, на атаки не страшно.
Посмотреть ОригиналОтветить0
OffchainWinner
· 17ч назад
Шесть уязвимостей исправлены, а атаки продолжаются?
Посмотреть ОригиналОтветить0
MetaverseLandlord
· 17ч назад
Зачем нужен аудит кода...
Посмотреть ОригиналОтветить0
ZeroRushCaptain
· 17ч назад
Аудит — это налог на интеллект.
Посмотреть ОригиналОтветить0
YieldHunter
· 17ч назад
технически говоря... баллы аудита ничего не значат, если вы не можете обеспечить доход, смх
Cetus подвергся атаке, многократные аудиты кода не могут гарантировать безопасность проекта
Атака на Cetus вызывает размышления о безопасности кода
Недавно децентрализованная биржа Cetus в экосистеме Sui подверглась атаке, что вызвало обсуждение эффективности аудита безопасности кода в отрасли. В настоящее время причины и последствия атаки еще не ясны, но мы можем сначала рассмотреть ситуацию с аудитом безопасности кода Cetus.
Некоторое известное агентство по безопасности провело аудит Cetus и выявило лишь 2 незначительных риска, которые уже решены, а из 9 информационных рисков 6 также было устранено. Агентство присвоило общий балл 83,06, а оценка кода достигла 96.
Тем не менее, в пяти отчетах об аудите кода, официально опубликованных Cetus, не содержатся результаты аудита вышеупомянутых учреждений. Эти пять отчетов были подготовлены тремя профессиональными организациями: MoveBit, OtterSec и Zellic, и охватывают код Cetus на цепях Aptos и Sui. Учитывая, что эта атака произошла на цепи Sui, мы сосредоточим внимание на отчетах об аудите, связанных с цепью Sui.
Аудиторский отчет MoveBit был загружен на Github 28 апреля 2023 года. В отчете было обнаружено 18 рисковых проблем, включая 1 критический риск, 2 основных риска, 3 умеренных риска и 12 незначительных риска. Стоит отметить, что все эти проблемы были решены.
Аудиторский отчет OtterSec был загружен 12 мая 2023 года. В отчете указано 1 высокая рискованная проблема, 1 умеренно рискованная проблема и 7 информационных рисков. Высокие и умеренные рискованные проблемы были решены, из 2 информационных рисков 2 были решены, 2 получили патчи для исправления, оставшиеся 3 касаются согласованности кода версий Sui и Aptos, валидации состояния приостановки и преобразования типов данных.
Аудитный отчет Zellic был загружен в апреле 2023 года. В отчете выявлено 3 информационных риска, которые в настоящее время не устранены. Эти риски в основном касаются авторизации функций, избыточности кода и выбора типов данных для отображения NFT, общий уровень риска низкий.
Стоит отметить, что MoveBit, OtterSec и Zellic являются организациями, специализирующимися на аудите кода на языке Move, что особенно важно на текущем рынке, где доминирует аудит EVM.
Обзор недавних мер безопасности некоторых новых проектов DEX показывает, что существуют определённые тенденции:
GMX V2 прошла кодовый аудит от 5 компаний и запустила программу вознаграждений за уязвимости на сумму до 5 миллионов долларов.
DeGate наняла 35 компаний для проведения аудита, максимальная сумма вознаграждения за уязвимость может составлять 1,11 миллиона долларов.
DYDX V4 был аудирован Informal Systems, также был установлен план по вознаграждению за уязвимости на сумму 5 миллионов долларов.
Hyperliquid на основе самопроверки предлагает вознаграждение в 1 миллион долларов за уязвимости.
UniversalX выбрал две известные организации для проведения аудита.
Хотя GMGN не опубликовал отчет об аудите, он учредил программу вознаграждения за уязвимости с максимальным вознаграждением в 10 000 долларов США за каждую уязвимость.
Таким образом, даже такие проекты, как Cetus, которые были проверены несколькими организациями, могут подвергаться атакам. Многосторонний аудит в сочетании с программами вознаграждений за уязвимости или конкурсами на аудит может в определенной степени повысить безопасность проекта. Тем не менее, для новых DeFi-протоколов нерешенные проблемы аудита по-прежнему заслуживают внимания. Это также объясняет, почему эксперты отрасли придают особое значение аудиту кода новых протоколов.