SUI Ecosystem DEX-#Cetus Är kodsäkerhetsrevision verkligen tillräcklig när den attackeras? Orsaken och effekten av attacken mot Cetus är ännu inte klarlagd, men vi kan först ta en titt på kodsäkerhetsgranskningen av Cetus. För den oinvigde kan vi inte förstå den specifika tekniken, men den här revisionssammanfattningen kan förstås. ➤ Certiks revision Certiks kodsäkerhetsrevision av Cetus fann endast 2 mindre faror som löstes. Det finns också 9 informationsrisker, varav 6 har lösts. Certik gav ett helhetsbetyg på 83,06 och en kodrevisionspoäng på 96. ➤ Andra revisionsrapporter från Cetus (SUI Chain) Totalt 5 kodrevisionsrapporter är listade på Cetus Github, exklusive Certiks revision. Det uppskattas att projektgruppen också visste att Certiks revision var en formalitet, så den inkluderade inte denna rapport. Cetus stöder både Aptos- och SUI-kedjor, och de 5 revisionsrapporterna kommer från MoveBit, OtterSec respektive Zellic. Bland dem granskar MoveBit och OtterSec Cetus kod på Aptos- respektive SUI-kedjorna, och Zellic bör också granska koden på SUI-kedjan. Eftersom det var Cetus på SUI-kedjan som attackerades den här gången kommer vi bara att titta på revisionsrapporten för Cetus på SUI-kedjan nedan. ❚ Revisionsrapport från MoveBit Rapporten laddades upp till Github 2023-04-28 Om vi inte förstår det specifika innehållet i revisionen kan vi hitta en tabell som denna för att se antalet riskproblem som listas i rapporten på varje nivå och hur väl de är lösta. MoveBis revisionsrapport om Cetust hittade totalt 18 riskproblem, inklusive 1 problem med dödlig risk, 2 allvarliga riskproblem, 3 problem med medelhög risk och 12 problem med mild risk, som alla har lösts. Det finns fler problem än vad Certik har hittat, och Cetus har löst dem alla. ❚ Revisionsrapport från OtterSec Rapporten laddades upp på Github 2023-05-12 OtterSecs revisionsrapport om Cetus hittade totalt 1 högriskproblem, 1 medelriskproblem och 7 informationsrisker, och skärmdumparna togs inte eftersom rapporttabellen inte direkt visade lösningen på riskproblemet. Bland dem har både högrisk- och medelriskfrågor lösts. Informationsriskproblem, 2 lösta, 2 fixade patchar inskickade och 3 fler. Efter en grov studie är dessa 3: •Koden för Sui- och Aptos-versionerna är inkonsekvent, vilket kan påverka noggrannheten i prisberäkningen av likviditetspooler. • Brist på verifiering av pausat tillstånd, ingen verifiering av om likviditetspoolen är i ett pausat tillstånd vid tidpunkten för bytet. Om poolen är avstängd kan det fortfarande vara möjligt att handla. • Konvertera U256-typ till U64-typ, om värdet överstiger MAX_U64 kommer det att orsaka översvämning, vilket kan leda till beräkningsfel vid stora transaktioner. Det är osäkert om attacken är relaterad till ovanstående frågor. ❚ Revisionsrapport från Zellic Rapporten laddades upp på Github i april 2025 Zellics revisionsrapport om Cetus identifierade tre informationsrisker, varav ingen åtgärdades: • Ett problem med funktionsauktorisering som gör att vem som helst kan ringa för att sätta in avgifter på ett partnerkonto. Det verkar inte vara riskabelt, det är att spara pengar, inte att ta ut pengar. Så Cetus fixade det inte för tillfället. • Det finns en funktion som fortfarande refereras av en föråldrad generation, och koden är överflödig, vilket verkar vara riskabelt, men koden är inte tillräckligt normativ. • Ett av gränssnittsrenderingsproblemen i NFT-visningsdata kan ha varit teckenbaserat, men Cetus använde den mer komplexa datatypen TypeName i Move-språket. Detta är inget problem, och det är möjligt att Cetus kommer att utveckla andra funktioner för NFT:er i framtiden. Sammantaget hittade Zellic 3 delproblem med ozonskiktet, som i princip är riskfria och tillhör kodspecifikationsaspekten. Vi måste komma ihåg dessa tre revisorer: MoveBit, OtterSec, Zellic. Eftersom de flesta revisorer på marknaden är bra på EVM-revisioner tillhör dessa tre revisorer Move-språkkodsrevisorerna. ➤ Revision och säkerhetsnivå (Ta den nya DEX som ett exempel) Först och främst är projekt som inte har granskats av kod föremål för en viss risk för matta. När allt kommer omkring är han inte ens villig att betala för denna revision, och det är svårt för människor att tro att han har en önskan att arbeta under lång tid. För det andra är Certik-revision faktiskt en slags "mänsklig revision". Varför är det en "human audit", Certik har ett mycket nära samarbete med coinmarketcap. På coinmarketcaps projektsida finns en revisionsikon som klickar på den för att ta dig till Certiks navigationsplattform, skynet. coinmarketcap, som en plattform som ägs av Binance, gjorde det indirekt möjligt för Certik att etablera ett partnerskap med Binance. Faktum är att Binance och Certik alltid har haft en god relation, så de flesta projekt som vill listas på Binance kommer att söka Certiks revision. Därför, om ett projekt söker Certiks revision, är det troligt att det vill listas på Binance. Historien har dock visat att sannolikheten för en attack mot ett projekt som endast granskas av Certik inte är låg, till exempel DEXX. Det finns till och med projekt som har FUG, till exempel ZKasino. Naturligtvis har Certik också en del annan säkerhetshjälp, inte bara kodgranskning, Certik kommer att skanna webbplatser, DNS, etc., och det finns en del annan säkerhetsinformation än kodrevision. För det tredje kommer många projekt att söka 1~mer än en annan högkvalitativ revisionsenhet för att genomföra kodsäkerhetsrevisioner. För det fjärde, förutom professionella kodrevisioner, kommer vissa projekt också att genomföra bug bounty-program och revisionstävlingar för att brainstorma och eliminera sårbarheter. Eftersom detta är en DEX-produkt, låt oss ta några nyare DEX:er som exempel: --------------------------- ✦✦✦GMX V2 är en kodrevision utförd av 5 företag, inklusive abdk, certora, dedaub, guardian och sherlock, och lanserade ett enda bug bounty-program på upp till 5 miljoner dollar. ✦✦✦DeGate, totalt 35 företag från Secbit, Least Authority och Trail of Bits genomförde kodrevisioner och lanserade ett enda bug bounty-program på upp till 1,11 miljoner dollar. ✦✦✦DYDX V4 är en kodsäkerhetsrevision utförd av Informal Systems, och ett enda bug bounty-program på upp till 5 miljoner dollar har lanserats. ✦✦✦HyperLiquid genomför kodsäkerhetsgranskningar av HyperLiquid och har lanserat ett enda bug bounty-program på upp till 1 miljon dollar. ✦✦UniversalX granskas av Certik och en annan expertrevisor (den officiella revisionsrapporten har tillfälligt tagits bort från hyllorna) ✦GMGN är speciellt eftersom det inte finns någon kodrevisionsrapport hittad, bara ett enda bug bounty-program på upp till $10 000. ➤ Skriv i slutet Efter att ha granskat kodsäkerhetsgranskningarna av dessa DEX:er kan vi se att även DEX:er som Cetus, som granskas gemensamt av 3 revisorer, fortfarande är sårbara för attacker. Revisioner med flera agenter, i kombination med program för belöning av sårbarheter eller revisionstävlingar, säkerställer relativt säker säkerhet. För vissa nya Defi-protokoll finns det dock fortfarande problem med kodrevision som inte har åtgärdats, vilket är anledningen till att Brother Bee ägnar särskild uppmärksamhet åt kodrevisionen av nya Defi-protokoll.