SUI Ecosystem DEX #Cetus Onko koodin tietoturvatarkastus todella riittävä hyökkäyksen kohteena? Cetukseen kohdistuneen hyökkäyksen syy ja vaikutus eivät ole vielä selvillä, mutta voimme ensin tutustua Cetuksen koodin tietoturva-auditointiin. Asiaan perehtymättömät eivät voi ymmärtää tiettyä tekniikkaa, mutta tämä auditointiyhteenveto on ymmärrettävissä. ➤ Certikin auditointi Certikin Cetuksen koodin tietoturvatarkastuksessa havaittiin vain 2 pientä vaaraa, jotka ratkaistiin. On myös 9 informaatioriskiä, joista 6 on ratkaistu. Certik antoi kokonaisarvosanaksi 83,06 ja koodin auditointipisteeksi 96. ➤ Muut Cetuksen (SUI Chain) tarkastusraportit Cetuksen Githubissa on lueteltu yhteensä 5 kooditarkastusraporttia, lukuun ottamatta Certikin auditointia. On arvioitu, että projektiryhmä tiesi myös, että Certikin auditointi oli muodollisuus, joten se ei sisällyttänyt tätä raporttia. Cetus tukee sekä Aptos- että SUI-ketjuja, ja 5 auditointiraporttia ovat MoveBitiltä, OtterSeciltä ja Zelliciltä. Niistä MoveBit ja OtterSec tarkastavat Cetuksen koodin Aptos- ja SUI-ketjuissa, ja Zellicin tulisi myös tarkastaa SUI-ketjun koodi. Koska tällä kertaa hyökkäyksen kohteeksi joutui SUI-ketjun Cetus, tarkastelemme alla vain Cetuksen tarkastusraporttia SUI-ketjusta. ❚ MoveBitin tarkastusraportti Raportti ladattiin Githubiin 28.4.2023 Jos emme ymmärrä tarkastuksen tarkkaa sisältöä, voimme löytää tällaisen taulukon, josta näemme raportissa lueteltujen riskiongelmien määrän kullakin tasolla ja kuinka hyvin ne on ratkaistu. MoveBin Cetust-tarkastusraportissa havaittiin yhteensä 18 riskiongelmaa, mukaan lukien 1 kuolemaan johtava riskiongelma, 2 suurta riskiongelmaa, 3 keskisuuren riskin ongelmaa ja 12 lievän riskin ongelmaa, jotka kaikki on ratkaistu. Ongelmia on enemmän kuin Certik on löytänyt, ja Cetus on ratkaissut ne kaikki. ❚ OtterSecin auditointiraportti Raportti ladattiin Githubiin 2023-05-12 OtterSecin Cetus-tarkastusraportissa havaittiin yhteensä 1 korkean riskin ongelma, 1 keskisuuren riskin ongelma ja 7 tietoriskiä, eikä kuvakaappauksia otettu, koska raporttitaulukko ei suoraan osoittanut riskiongelman ratkaisua. Niistä sekä korkean että keskisuuren riskin ongelmat on ratkaistu. Tietoriskiongelmat, 2 ratkaistu, 2 korjattua korjaustiedostoa ja 3 muuta. Karkean tutkimuksen jälkeen nämä 3 ovat: •Sui- ja Aptos-versioiden koodi on epäjohdonmukainen, mikä voi vaikuttaa likviditeettipoolien hinnanlaskennan tarkkuuteen. • Keskeytetyn tilan varmennuksen puute, ei tarkistettu, onko likviditeettipooli keskeytetyssä tilassa swap-hetkellä. Jos pooli on keskeytetty, kaupankäynti voi silti olla mahdollista. • Muunna U256-tyyppi U64-tyypiksi, jos arvo ylittää MAX_U64, se aiheuttaa ylivuotoa, mikä voi johtaa laskentavirheisiin suurten tapahtumien tapauksessa. On epävarmaa, liittyykö hyökkäys edellä mainittuihin ongelmiin. ❚ Zellicin auditointiraportti Raportti ladattiin Githubiin huhtikuussa 2025 Zellicin Cetus-tarkastusraportissa tunnistettiin kolme informaatioriskiä, joista yhtäkään ei korjattu: • Toiminnon valtuutusongelma, jonka avulla kuka tahansa voi soittaa tallettaakseen maksuja mille tahansa kumppanitilille. Se ei vaikuta riskialttiilta, se on rahan säästämistä, ei rahan nostamista. Joten Cetus ei toistaiseksi korjannut sitä. • On funktio, johon vanhentunut sukupolvi edelleen viittaa, ja koodi on tarpeetonta, mikä vaikuttaa riskialttiilta, mutta koodi ei ole tarpeeksi ohjaileva. • Yksi NFT-näyttötietojen käyttöliittymän renderöintiongelmista saattoi olla merkkipohjainen, mutta Cetus käytti monimutkaisempaa TypeName-tietotyyppiä Move-kielessä. Tämä ei ole ongelma, ja on mahdollista, että Cetus kehittää tulevaisuudessa muita ominaisuuksia NFT:ille. Kaiken kaikkiaan Zellic löysi 3 otsonikerroksen aliongelmaa, jotka ovat periaatteessa riskittömiä ja kuuluvat koodin määrittelynäkökulmaan. Meidän on muistettava nämä kolme auditoijaa: MoveBit, OtterSec, Zellic. Koska suurin osa markkinoilla olevista auditoijista on hyviä EVM-auditoinneissa, nämä kolme auditoijaa kuuluvat Move-kielikooditarkastajiin. ➤ Auditointi- ja suojaustaso (otetaan esimerkkinä uusi DEX) Ensinnäkin projekteihin, joita ei ole auditoitu koodilla, liittyy tietty määrä Rug-riskiä. Loppujen lopuksi hän ei ole edes valmis maksamaan tästä tarkastuksesta, ja ihmisten on vaikea uskoa, että hänellä on halu toimia pitkään. Toiseksi Certik-auditointi on itse asiassa eräänlainen "inhimillinen auditointi". Miksi kyseessä on "ihmisen auditointi", Certikillä on erittäin läheinen yhteistyö coinmarketcapin kanssa. coinmarketcapin projektisivulla on auditointikuvake, jota klikkaamalla pääset Certikin navigointialustalle, skynetiin. coinmarketcap Binancen omistamana alustana mahdollisti epäsuorasti Certikin kumppanuuden solmimisen Binancen kanssa. Itse asiassa Binancella ja Certikillä on aina ollut hyvä suhde, joten useimmat projektit, jotka haluavat listautua Binanceen, hakevat Certikin tarkastusta. Siksi, jos hanke hakee Certikin tarkastusta, se todennäköisesti haluaa listautua Binanceen. Historia on kuitenkin osoittanut, että hyökkäyksen todennäköisyys vain Certikin tarkastamaan projektiin, kuten DEXX:ään, ei ole pieni. On jopa projekteja, jotka ovat olleet FUG:ia, kuten ZKasino. Tietysti Certikillä on myös muuta tietoturva-apua, ei vain koodin tarkastusta, Certik skannaa verkkosivustoja, DNS:ää jne., ja koodin tarkastuksen lisäksi on joitain muita turvallisuustietoja. Kolmanneksi monissa hankkeissa etsitään 1~useampaa kuin yhtä muuta korkealaatuista tarkastusyksikköä suorittamaan koodin tietoturvatarkastuksia. Neljänneksi, ammattimaisten kooditarkastusten lisäksi joissakin projekteissa toteutetaan myös bug bounty -ohjelmia ja auditointikilpailuja aivoriihen ja haavoittuvuuksien poistamiseksi. Koska tämä on DEX-tuote, otetaan esimerkkeinä joitain uudempia DEX:iä: --------------------------- ✦✦✦GMX V2 on kooditarkastus, jonka suoritti 5 yritystä, mukaan lukien abdk, certora, dedaub, guardian ja sherlock, ja se käynnisti yhden jopa 5 miljoonan dollarin bug bounty -ohjelman. ✦✦✦DeGate, yhteensä 35 yritystä Secbitistä, Least Authoritysta ja Trail of Bitsistä suorittivat kooditarkastuksia ja käynnistivät yhden jopa 1,11 miljoonan dollarin bug bounty -ohjelman. ✦✦✦DYDX V4 on Informal Systemsin suorittama koodin tietoturvatarkastus, ja yksi jopa 5 miljoonan dollarin bug bounty -ohjelma on käynnistetty. ✦✦✦HyperLiquid suorittaa HyperLiquidin koodin tietoturvatarkastuksia ja on käynnistänyt yhden jopa miljoonan dollarin bug bounty -ohjelman. ✦✦UniversalX:n auditoivat Certik ja toinen asiantuntija-auditoija (virallinen auditointiraportti on väliaikaisesti poistettu hyllyiltä) ✦GMGN on erityinen siinä mielessä, että koodin tarkastusraporttia ei löydy, vain yksi jopa 10 000 dollarin bug bounty -ohjelma. ➤ Kirjoita loppuun Tarkasteltuamme näiden DEX:ien koodin tietoturvatarkastuksia voimme nähdä, että jopa Cetuksen kaltaiset DEX:t, joita 3 auditoijaa auditoi yhdessä, ovat edelleen alttiita hyökkäyksille. Usean agentin auditoinnit yhdistettynä haavoittuvuuspalkkio-ohjelmiin tai auditointikilpailuihin takaavat suhteellisen turvallisen turvallisuuden. Joissakin uusissa Defi-protokollissa on kuitenkin edelleen ongelmia koodin tarkastuksessa, joita ei ole korjattu, minkä vuoksi Brother Bee kiinnittää erityistä huomiota uusien Defi-protokollien kooditarkastukseen.