Cetus зазнав атаки, чи дійсно аудит коду безвідмовний?
Наразі конкретні причини та вплив атаки на Cetus залишаються незрозумілими. Давайте спочатку переглянемо ситуацію з аудитом безпеки коду Cetus.
Хоча ми, можливо, не зовсім розуміємо конкретні технічні деталі, але резюме аудиту все ж зрозуміле.
Стан аудиту коду Cetus
Звіт про аудит MoveBit
MoveBit завантажила звіт про аудит Cetus 28 квітня 2023 року. У звіті було виявлено 18 ризикових питань, зокрема 1 критичний ризик, 2 основних ризики, 3 помірних ризики та 12 незначних ризиків. Варто зазначити, що всі ці проблеми вже були вирішені.
Звіт аудиту OtterSec
OtterSec опублікувала звіт про аудит 12 травня 2023 року. У звіті виявлено 1 високий ризик, 1 середній ризик і 7 інформаційних ризиків. Високі та середні ризики були вирішені, з інформаційних ризиків 2 були вирішені, 2 отримали патчі для виправлення, а 3 залишаються невирішеними.
Невирішені питання включають:
Версії коду Sui та Aptos не збігаються, що може вплинути на точність розрахунку цін у ліквідних пулах.
Відсутня перевірка стану паузи, що може призвести до можливості торгівлі навіть у стані паузи.
Перетворення типів даних може призвести до помилок у розрахунках під час великих угод.
Аудиторський звіт Zellic
Zellic опублікував аудиторський звіт у квітні 2025 року, в якому виявлено 3 інформаційні ризики, які не були усунені:
Питання авторизації, яке дозволяє будь-кому вносити кошти на рахунок партнера
Функція, яка була застаріла, але все ще використовується, наявна надмірність коду.
Проблема відображення UI в даних NFT
Ці питання в основному стосуються кодових стандартів, ризик є відносно низьким.
Варто звернути увагу, що MoveBit, OtterSec та Zellic є установами, які спеціалізуються на аудиті коду Move.
Аудит та рівень безпеки
Порівняння деяких новіших DEX-проектів за заходами безпеки:
GMX V2: 5 компаній проведено аудит, максимальна винагорода за вразливість 5000000 доларів США
DeGate: 35 компаній перевірено, максимальна винагорода за вразливість 111 тисяч доларів
DYDX V4: 1 компанія провела аудит, максимальна винагорода за уразливість 5000000 доларів
Hyperliquid: самостійний аудит, максимальна винагорода за вразливість 1 000 000 доларів США
UniversalX: 2 компанії аудиту
GMGN: Не знайдено звіт про аудит, максимальна винагорода за вразливість 10 000 доларів США
Висновок
Навіть такі DEX-проекти, як Cetus, які пройшли аудит у кількох організаціях, можуть зазнати атаки. Множинний аудит у поєднанні з високими програмами винагород за вразливості або конкурсами аудиту можуть відносно підвищити безпеку. Але для нових DeFi-протоколів, якщо проблеми, виявлені під час аудиту, не були повністю виправлені, все ще існує потенційний ризик. Тому дуже важливо уважно стежити за ситуацією з аудитом коду нових DeFi проектів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
7 лайків
Нагородити
7
4
Поділіться
Прокоментувати
0/400
LazyDevMiner
· 07-24 03:24
Займатися бездіяльністю - це також певний вид майстерності.
Cetus зустріла напад, що виявляє обмеження аудитів коду в Децентралізовані фінанси
Cetus зазнав атаки, чи дійсно аудит коду безвідмовний?
Наразі конкретні причини та вплив атаки на Cetus залишаються незрозумілими. Давайте спочатку переглянемо ситуацію з аудитом безпеки коду Cetus.
Хоча ми, можливо, не зовсім розуміємо конкретні технічні деталі, але резюме аудиту все ж зрозуміле.
Стан аудиту коду Cetus
Звіт про аудит MoveBit
MoveBit завантажила звіт про аудит Cetus 28 квітня 2023 року. У звіті було виявлено 18 ризикових питань, зокрема 1 критичний ризик, 2 основних ризики, 3 помірних ризики та 12 незначних ризиків. Варто зазначити, що всі ці проблеми вже були вирішені.
Звіт аудиту OtterSec
OtterSec опублікувала звіт про аудит 12 травня 2023 року. У звіті виявлено 1 високий ризик, 1 середній ризик і 7 інформаційних ризиків. Високі та середні ризики були вирішені, з інформаційних ризиків 2 були вирішені, 2 отримали патчі для виправлення, а 3 залишаються невирішеними.
Невирішені питання включають:
Аудиторський звіт Zellic
Zellic опублікував аудиторський звіт у квітні 2025 року, в якому виявлено 3 інформаційні ризики, які не були усунені:
Ці питання в основному стосуються кодових стандартів, ризик є відносно низьким.
Варто звернути увагу, що MoveBit, OtterSec та Zellic є установами, які спеціалізуються на аудиті коду Move.
Аудит та рівень безпеки
Порівняння деяких новіших DEX-проектів за заходами безпеки:
Висновок
Навіть такі DEX-проекти, як Cetus, які пройшли аудит у кількох організаціях, можуть зазнати атаки. Множинний аудит у поєднанні з високими програмами винагород за вразливості або конкурсами аудиту можуть відносно підвищити безпеку. Але для нових DeFi-протоколів, якщо проблеми, виявлені під час аудиту, не були повністю виправлені, все ще існує потенційний ризик. Тому дуже важливо уважно стежити за ситуацією з аудитом коду нових DeFi проектів.