El DEX de la ecosistema SUI #Cetus ha sido atacado, ¿es realmente suficiente una auditoría de seguridad del código? Las razones y el impacto del ataque a Cetus aún no están claros, pero podemos revisar la situación de la auditoría de seguridad del código de Cetus. Como no somos expertos, no podemos entender los detalles técnicos, pero este resumen de la auditoría es comprensible. ➤ Auditoría de Certik Veamos, Certik solo encontró 2 peligros menores en la auditoría de seguridad del código de Cetus, y ya han sido resueltos. También hay 9 riesgos informativos, de los cuales 6 han sido resueltos. La puntuación general que dio Certik es 83.06, y la puntuación de la auditoría del código es 96 puntos. ➤ Otros informes de auditoría de Cetus (cadena SUI) En el Github de Cetus se enumeran un total de 5 informes de auditoría de código, sin incluir la auditoría de Certik. Se estima que el equipo del proyecto también sabe que la auditoría de Certik es solo una formalidad, por lo que no incluyeron este informe. Cetus soporta tanto la cadena Aptos como la SUI, y estos 5 informes de auditoría provienen de MoveBit, OtterSec y Zellic. MoveBit y OtterSec auditaron el código de Cetus en las cadenas Aptos y SUI, respectivamente, y Zellic también auditó el código en la cadena SUI. Dado que el ataque ocurrió en Cetus en la cadena SUI, a continuación solo revisaremos el informe de auditoría de Cetus en la cadena SUI. ❚ Informe de auditoría de MoveBit Fecha de carga del informe en Github: 2023-04-28 Si no entendemos el contenido específico de la auditoría, podemos encontrar una tabla como esta, que muestra la cantidad de problemas de riesgo en diferentes niveles y su estado de resolución. El informe de auditoría de MoveBit sobre Cetus encontró un total de 18 problemas de riesgo, incluyendo 1 problema de riesgo crítico, 2 problemas de riesgo mayor, 3 problemas de riesgo moderado y 12 problemas de riesgo menor, todos ya resueltos. Esto es más que los problemas encontrados por Certik, y Cetus ha resuelto todos estos problemas. ❚ Informe de auditoría de OtterSec Fecha de carga del informe en Github: 2023-05-12 El informe de auditoría de OtterSec sobre Cetus encontró 1 problema de alto riesgo, 1 problema de riesgo moderado y 7 riesgos informativos. Como la tabla del informe no muestra directamente el estado de resolución de los problemas de riesgo, no se incluirá una captura de pantalla. De estos, el problema de alto riesgo y el problema de riesgo moderado ya han sido resueltos. En cuanto a los problemas de riesgo informativo, 2 han sido resueltos, 2 han recibido parches de reparación y quedan 3. Tras investigar un poco, estos 3 son: • Inconsistencia en el código entre las versiones de Sui y Aptos, lo que podría afectar la precisión del cálculo de precios en el pool de liquidez. • Falta de verificación del estado de pausa, ya que no se verifica si el pool de liquidez está en estado de pausa al realizar un Swap. Si el pool está pausado, aún podría ser posible realizar transacciones. • Conversión del tipo u256 a u64, lo que podría causar un desbordamiento si el valor supera MAX_U64, lo que podría llevar a errores de cálculo en transacciones grandes. Ahora no está claro si el ataque está relacionado con estos problemas. ❚ Informe de auditoría de Zellic Fecha de carga del informe en Github: abril de 2025 El informe de auditoría de Zellic sobre Cetus encontró 3 riesgos informativos, ninguno de los cuales ha sido reparado: • Un problema de autorización de función que permite a cualquier persona llamar a la función para depositar tarifas en cualquier cuenta de socio. Esto parece no tener mucho riesgo, ya que es para depositar dinero, no para retirarlo. Por lo tanto, Cetus no ha considerado necesario repararlo por el momento. • Existe una función obsoleta que aún se está referenciando, lo que genera redundancia en el código, pero parece no tener mucho riesgo, solo que la normativa del código no es suficiente. • Un problema de presentación de UI en los datos de visualización de NFT, que podría haberse hecho con un tipo de carácter, pero Cetus utilizó un tipo de datos más complejo de TypeName en el lenguaje Move. Esto no es un gran problema y podría ser que Cetus desarrolle otras funciones para los NFT en el futuro. En general, Zellic encontró 3 problemas menores, que básicamente no representan un riesgo, y pertenecen más a la normativa del código. Debemos recordar estas tres agencias de auditoría: MoveBit, OtterSec y Zellic. Porque la mayoría de las agencias de auditoría en el mercado son expertas en auditorías de EVM, estas tres son agencias de auditoría de código en el lenguaje Move. ➤ Auditoría y niveles de seguridad (tomando como ejemplo nuevos DEX) Primero, los proyectos que no han sido auditados tienen un cierto riesgo de Rug. Después de todo, si ni siquiera están dispuestos a pagar por una auditoría, es difícil creer que tengan la intención de operar a largo plazo. En segundo lugar, la auditoría de Certik es en realidad una forma de "auditoría por relaciones". ¿Por qué se dice que es una "auditoría por relaciones"? Porque Certik tiene una colaboración muy estrecha con CoinMarketCap. En la página del proyecto de CoinMarketCap hay un ícono de auditoría, que al hacer clic te lleva a la plataforma de navegación de Certik, Skynet. CoinMarketCap, como plataforma bajo Binance, indirectamente establece una relación de colaboración entre Certik y Binance. De hecho, la relación entre Binance y Certik siempre ha sido buena, por lo que la mayoría de los proyectos que desean ser listados en Binance buscarán la auditoría de Certik. Así que si un proyecto busca la auditoría de Certik, es muy probable que quiera ser listado en Binance. Sin embargo, la historia ha demostrado que los proyectos auditados solo por Certik tienen una probabilidad no baja de ser atacados, como DEXX. Incluso hay proyectos que ya han FUGado, como ZKasino. Por supuesto, Certik también ofrece otras formas de ayuda en términos de seguridad, no solo auditorías de código, sino que también escanean sitios web, DNS, y proporcionan información de seguridad más allá de la auditoría de código. En tercer lugar, muchos proyectos buscarán una o más agencias de auditoría de calidad para realizar auditorías de seguridad del código. En cuarto lugar, además de auditorías de código profesionales, algunos proyectos también llevarán a cabo programas de recompensas por vulnerabilidades y competiciones de auditoría, para recopilar ideas y eliminar vulnerabilidades. Dado que el producto atacado es un DEX, tomaremos como ejemplo algunos DEX más nuevos: --------------------------- ✦✦✦ GMX V2, auditado por 5 empresas: abdk, certora, dedaub, guardian, sherlock, y lanzó un programa de recompensas por vulnerabilidades de hasta 5 millones de dólares. ✦✦✦ DeGate, auditado por 35 empresas: Secbit, Least Authority, Trail of Bits, y lanzó un programa de recompensas por vulnerabilidades de hasta 1.11 millones de dólares. ✦✦✦ DYDX V4, auditado por Informal Systems, y lanzó un programa de recompensas por vulnerabilidades de hasta 5 millones de dólares. ✦✦✦ hyperliquid, auditado por hyperliquid, y lanzó un programa de recompensas por vulnerabilidades de hasta 1 millón de dólares. ✦✦ UniversalX, auditado por Certik y otra agencia de auditoría experta (el informe de auditoría ha sido retirado temporalmente). ✦ GMGN es un caso especial, no se encontró el informe de auditoría, solo tiene un programa de recompensas por vulnerabilidades de hasta 10 mil dólares. ➤ Reflexiones finales Al revisar la situación de las auditorías de seguridad del código de estos DEX, podemos ver que incluso un DEX como Cetus, auditado por 3 agencias, aún puede ser atacado. La auditoría de múltiples entidades, junto con programas de recompensas por vulnerabilidades o competiciones de auditoría, ofrece una seguridad relativamente garantizada. Sin embargo, para algunos nuevos protocolos DeFi, aún hay problemas no resueltos en las auditorías de código, y esta es la razón por la que el hermano Bee presta especial atención a la situación de las auditorías de código de los nuevos protocolos DeFi.