Ekosystem DEX SUI #Cetus został zaatakowany, czy audyt bezpieczeństwa kodu jest naprawdę wystarczający? Przyczyny i skutki ataku na Cetus są na razie niejasne, ale możemy najpierw przyjrzeć się sytuacji audytu bezpieczeństwa kodu Cetus. Nie jesteśmy specjalistami, więc nie rozumiemy konkretnych technik, ale ten skrót audytu jest zrozumiały. ➤ Audyt Certik Zobaczmy, Certik przeprowadził audyt bezpieczeństwa kodu Cetus i znalazł tylko 2 lekkie zagrożenia, które zostały już rozwiązane. Jest też 9 ryzyk informacyjnych, z czego 6 zostało rozwiązanych. Certik przyznał ogólną ocenę 83,06, a ocena audytu kodu wynosi 96 punktów. ➤ Inne raporty audytowe Cetus (łańcuch SUI) Na Githubie Cetus wymieniono 5 raportów audytowych, w tym nie uwzględniono audytu Certik. Można przypuszczać, że projekt również zdaje sobie sprawę, że audyt Certik to tylko formalność, dlatego nie umieścili tego raportu. Cetus obsługuje zarówno łańcuch Aptos, jak i SUI, a te 5 raportów audytowych pochodzi od MoveBit, OtterSec i Zellic. MoveBit i OtterSec przeprowadziły audyt kodu Cetus na łańcuchach Aptos i SUI, a Zellic również audytował kod na łańcuchu SUI. Ponieważ atak dotyczył Cetus na łańcuchu SUI, poniżej przyjrzymy się tylko raportowi audytowemu Cetus na łańcuchu SUI. ❚ Raport audytowy od MoveBit Data przesłania raportu na Githubie: 2023-04-28 Jeśli nie rozumiemy szczegółów audytu, możemy znaleźć taką tabelę, aby zobaczyć liczbę problemów ryzykowych na różnych poziomach wymienionych w raporcie oraz ich status rozwiązania. Raport audytowy MoveBit dla Cetus wykazał 18 problemów ryzykowych, w tym 1 problem krytyczny, 2 problemy główne, 3 problemy średnie i 12 problemów lekkich, które zostały wszystkie rozwiązane. To więcej problemów niż te, które znalazł Certik, a Cetus rozwiązał wszystkie te problemy. ❚ Raport audytowy od OtterSec Data przesłania raportu na Githubie: 2023-05-12 Raport audytowy OtterSec dla Cetus wykazał 1 problem wysokiego ryzyka, 1 problem średniego ryzyka i 7 ryzyk informacyjnych. Ponieważ tabela w raporcie nie pokazuje bezpośrednio statusu rozwiązania problemów ryzykowych, nie zamieszczam zrzutu ekranu. Wysokie i średnie problemy ryzykowe zostały już rozwiązane. W przypadku ryzyk informacyjnych, 2 zostały rozwiązane, 2 zgłoszono do naprawy, a 3 pozostały. Po wstępnym zbadaniu, te 3 problemy to: • Problem z niezgodnością wersji kodu Sui i Aptos, co może wpłynąć na dokładność obliczeń cen w puli płynności. • Brak weryfikacji stanu wstrzymania, co oznacza, że podczas wymiany nie weryfikuje się, czy pula płynności jest w stanie wstrzymania. Jeśli pula jest wstrzymana, nadal można handlować. • Konwersja typu u256 na u64, co może prowadzić do przepełnienia, jeśli wartość przekroczy MAX_U64, co w przypadku dużych transakcji może prowadzić do błędnych obliczeń. Nie jest teraz pewne, czy atak był związany z powyższymi problemami. ❚ Raport audytowy od Zellic Data przesłania raportu na Githubie: 2025-04 Raport audytowy Zellic dla Cetus wykazał 3 ryzyka informacyjne, które nie zostały naprawione: • Problem z autoryzacją funkcji, który pozwala każdemu na wywołanie funkcji wpłacania opłat na dowolne konto partnera. To wydaje się nie stanowić ryzyka, to tylko wpłata, a nie wypłata. Dlatego Cetus na razie nie naprawił tego. • Istnieje funkcja, która została już usunięta, ale nadal jest używana, co prowadzi do nadmiaru kodu, co wydaje się nie stanowić ryzyka, ale nie spełnia norm kodowania. • Problem z wyświetlaniem danych NFT w UI, który mógłby być użyty jako typ znakowy, ale Cetus użył bardziej złożonego typu danych TypeName w języku Move. To nie jest poważny problem, a być może w przyszłości Cetus doda inne funkcje do NFT. Ogólnie rzecz biorąc, Zellic znalazł 3 problemy związane z normami kodowania, które zasadniczo nie stanowią ryzyka. Musimy zapamiętać te trzy agencje audytorskie: MoveBit, OtterSec, Zellic. Ponieważ większość agencji audytorskich na rynku specjalizuje się w audytach EVM, te trzy agencje specjalizują się w audytach kodu w języku Move. ➤ Audyt i poziom bezpieczeństwa (na przykładzie nowego DEX) Po pierwsze, projekty, które nie przeszły audytu kodu, mają pewne ryzyko Rug. W końcu, jeśli nie chcą nawet zapłacić za audyt, trudno uwierzyć, że mają długoterminowe zamiary. Po drugie, audyt Certik to w rzeczywistości rodzaj "audytu towarzyskiego". Dlaczego nazywamy to "audytem towarzyskim"? Certik ma bardzo bliską współpracę z coinmarketcap. Na stronie projektu coinmarketcap znajduje się ikona audytu, po kliknięciu przechodzi się do platformy nawigacyjnej Certik skynet. Coinmarketcap, jako platforma należąca do Binance, pośrednio nawiązał współpracę między Certik a Binance. W rzeczywistości relacje między Binance a Certik zawsze były dobre, dlatego większość projektów, które chcą zaistnieć na Binance, będzie szukać audytu Certik. Dlatego, jeśli projekt szuka audytu Certik, to z dużym prawdopodobieństwem chce zaistnieć na Binance. Jednak historia pokazuje, że projekty audytowane tylko przez Certik mają wysokie ryzyko ataku, na przykład DEXX. Niektóre projekty już zniknęły, na przykład ZKasino. Oczywiście Certik ma również inne formy wsparcia w zakresie bezpieczeństwa, nie tylko audyt kodu, ale także skanowanie stron internetowych, DNS itp., oferując pewne informacje o bezpieczeństwie poza audytem kodu. Po trzecie, wiele projektów szuka jednego lub więcej innych wysokiej jakości podmiotów audytorskich do przeprowadzenia audytu bezpieczeństwa kodu. Po czwarte, oprócz profesjonalnych audytów kodu, niektóre projekty prowadzą programy nagród za błędy i konkursy audytowe, aby zbierać pomysły i eliminować luki. Ponieważ atak dotyczył produktu DEX, posłużmy się kilkoma nowymi DEX jako przykład: --------------------------- ✦✦✦GMX V2, audytowany przez 5 firm: abdk, certora, dedaub, guardian, sherlock, i wprowadzono program nagród za błędy o maksymalnej wartości 5 milionów dolarów. ✦✦✦DeGate, audytowany przez 35 firm: Secbit, Least Authority, Trail of Bits, i wprowadzono program nagród za błędy o maksymalnej wartości 1,11 miliona dolarów. ✦✦✦DYDX V4, audytowany przez Informal Systems, i wprowadzono program nagród za błędy o maksymalnej wartości 5 milionów dolarów. ✦✦✦hyperliquid, audytowany przez hyperliquid, i wprowadzono program nagród za błędy o maksymalnej wartości 1 miliona dolarów. ✦✦UniversalX, audytowany przez Certik i inną agencję audytorską (oficjalnie tymczasowo usunięto raport audytowy) ✦GMGN jest dość wyjątkowy, nie znaleziono raportu audytowego, tylko program nagród za błędy o maksymalnej wartości 10 tysięcy dolarów. ➤ Na koniec Po przeglądzie sytuacji audytów bezpieczeństwa kodu tych DEX, możemy zauważyć, że nawet DEX, taki jak Cetus, który przeszedł audyt przez 3 agencje audytorskie, nadal może być narażony na atak. Audyt przez wiele podmiotów, w połączeniu z programem nagród za błędy lub konkursem audytowym, zapewnia względne bezpieczeństwo. Jednak w przypadku niektórych nowych protokołów Defi, w audytach kodu wciąż występują nierozwiązane problemy, co jest powodem, dla którego Bee Brother szczególnie zwraca uwagę na sytuację audytów kodu nowych protokołów Defi.