O DEX da ecologia SUI #Cetus foi atacado, a auditoria de segurança do código é realmente suficiente? As razões e impactos do ataque ao Cetus ainda não estão claros, mas podemos primeiro olhar para a situação da auditoria de segurança do código do Cetus. Para leigos, não conseguimos entender as questões técnicas específicas, mas este resumo da auditoria é compreensível. ➤ Auditoria da Certik Vamos ver, a auditoria de segurança do código do Cetus pela Certik encontrou apenas 2 riscos leves, que já foram resolvidos. Além disso, há 9 riscos informativos, dos quais 6 já foram resolvidos. A pontuação geral dada pela Certik é 83,06, e a pontuação da auditoria de código é 96. ➤ Outros relatórios de auditoria do Cetus (cadeia SUI) No Github do Cetus, estão listados 5 relatórios de auditoria de código, excluindo a auditoria da Certik. Presumivelmente, a equipe do projeto também sabe que a auditoria da Certik é apenas uma formalidade, por isso não incluiu este relatório. O Cetus suporta simultaneamente as cadeias Aptos e SUI, e esses 5 relatórios de auditoria vêm de MoveBit, OtterSec e Zellic. MoveBit e OtterSec auditaram o código do Cetus nas cadeias Aptos e SUI, respectivamente, enquanto a auditoria da Zellic também deve ser do código na cadeia SUI. Como o Cetus atacado é da cadeia SUI, vamos analisar apenas o relatório de auditoria do Cetus na cadeia SUI. ❚ Relatório de auditoria da MoveBit Data de upload do relatório no Github: 2023-04-28 Se não entendemos o conteúdo específico da auditoria, podemos encontrar uma tabela como esta, que mostra a quantidade de problemas de risco em diferentes níveis listados no relatório e sua situação de resolução. O relatório de auditoria da MoveBit para o Cetus encontrou um total de 18 problemas de risco, incluindo 1 problema de risco crítico, 2 problemas de risco maior, 3 problemas de risco moderado e 12 problemas de risco leve, todos já resolvidos. Isso é mais do que os problemas encontrados pela Certik, e o Cetus já resolveu todos esses problemas. ❚ Relatório de auditoria da OtterSec Data de upload do relatório no Github: 2023-05-12 O relatório de auditoria da OtterSec para o Cetus encontrou 1 problema de alto risco, 1 problema de risco moderado e 7 riscos informativos. Como a tabela do relatório não mostra diretamente a situação de resolução dos problemas de risco, não farei uma captura de tela. Dentre eles, o problema de alto risco e o problema de risco moderado já foram resolvidos. Dos problemas informativos, 2 foram resolvidos, 2 tiveram correções enviadas, e 3 ainda estão pendentes. Após uma análise, esses 3 são: • Problema de inconsistência de versão entre Sui e Aptos, que pode afetar a precisão do cálculo de preços do pool de liquidez. • Falta de verificação do estado de pausa, que não valida se o pool de liquidez está em estado de pausa durante a troca. Se o pool estiver pausado, ainda pode ser possível negociar. • Conversão do tipo u256 para u64, que pode causar overflow se o valor exceder MAX_U64, podendo resultar em erros de cálculo em transações de grande valor. Atualmente, não está claro se o ataque está relacionado a esses problemas. ❚ Relatório de auditoria da Zellic Data de upload do relatório no Github: abril de 2025 O relatório de auditoria da Zellic para o Cetus encontrou 3 riscos informativos, que não foram corrigidos: • Um problema de autorização de função, que permite que qualquer pessoa chame uma função para depositar taxas em qualquer conta parceira. Isso parece não ter risco, é um depósito, não um saque. Portanto, o Cetus ainda não o corrigiu. • Existe uma função obsoleta que ainda está sendo referenciada, resultando em redundância de código, que aparentemente não apresenta risco, mas a conformidade do código não é ideal. • Um problema de apresentação de UI nos dados de exibição de NFT, que poderia ter sido feito com um tipo de caractere, mas o Cetus usou um tipo de dados TypeName mais complexo da linguagem Move. Isso não é um grande problema e pode ser que o Cetus desenvolva outras funcionalidades para NFTs no futuro. De modo geral, a Zellic encontrou 3 problemas de conformidade, que basicamente não apresentam riscos, mas são questões de conformidade de código. Devemos lembrar dessas três instituições de auditoria: MoveBit, OtterSec e Zellic. Porque a maioria das instituições de auditoria no mercado é especializada em auditoria EVM, essas três são especializadas em auditoria de código da linguagem Move. ➤ Auditoria e nível de segurança (usando novos DEX como exemplo) Primeiro, projetos que não passaram por auditoria de código têm um certo risco de rug pull. Afinal, se eles não estão dispostos a gastar dinheiro em auditoria, é difícil acreditar que têm a intenção de operar a longo prazo. Em segundo lugar, a auditoria da Certik é, na verdade, uma "auditoria de favores". Por que chamamos de "auditoria de favores"? A Certik tem uma colaboração muito próxima com a CoinMarketCap. Na página do projeto da CoinMarketCap, há um ícone de auditoria que, ao ser clicado, leva à plataforma de navegação da Certik, Skynet. A CoinMarketCap, como plataforma sob a Binance, indiretamente estabelece uma relação de cooperação entre a Certik e a Binance. De fato, a relação entre a Binance e a Certik sempre foi boa, portanto, a maioria dos projetos que desejam ser listados na Binance buscará a auditoria da Certik. Assim, se um projeto busca a auditoria da Certik, é muito provável que queira ser listado na Binance. No entanto, a história prova que a probabilidade de projetos auditados apenas pela Certik serem atacados não é baixa, como o DEXX. Alguns projetos já faliram, como o ZKasino. Claro, a Certik também oferece outras formas de segurança, não apenas auditoria de código, mas também escaneia sites, DNS, entre outros, fornecendo algumas informações de segurança além da auditoria de código. Em terceiro lugar, muitos projetos buscam uma ou mais outras instituições de auditoria de qualidade para realizar auditorias de segurança de código. Em quarto lugar, além da auditoria profissional de código, alguns projetos também implementam programas de recompensas por bugs e competições de auditoria, promovendo a colaboração e eliminando vulnerabilidades. Como o produto atacado é um DEX, vamos usar alguns DEX mais novos como exemplo: --------------------------- ✦✦✦ GMX V2, auditado por 5 empresas: abdk, certora, dedaub, guardian, sherlock, e lançou um programa de recompensas por bugs com um valor máximo de 5 milhões de dólares. ✦✦✦ DeGate, auditado por 35 empresas: Secbit, Least Authority, Trail of Bits, e lançou um programa de recompensas por bugs com um valor máximo de 1,11 milhão de dólares. ✦✦✦ DYDX V4, auditado por Informal Systems, e lançou um programa de recompensas por bugs com um valor máximo de 5 milhões de dólares. ✦✦✦ hyperliquid, auditado por hyperliquid, e lançou um programa de recompensas por bugs com um valor máximo de 1 milhão de dólares. ✦✦ UniversalX, auditado pela Certik e outra instituição de auditoria especializada (o relatório de auditoria foi temporariamente removido). ✦ GMGN é um caso especial, não encontrei o relatório de auditoria, apenas um programa de recompensas por bugs com um valor máximo de 10 mil dólares. ➤ Considerações finais Após revisar a situação da auditoria de segurança do código desses DEX, podemos perceber que mesmo um DEX como o Cetus, auditado por 3 instituições, ainda pode ser atacado. Auditorias de múltiplas partes, combinadas com programas de recompensas por bugs ou competições de auditoria, oferecem uma segurança relativamente garantida. No entanto, para alguns novos protocolos DeFi, ainda existem problemas não resolvidos nas auditorias de código, e é por isso que o irmão Feng está especialmente atento à situação das auditorias de código dos novos protocolos DeFi.