SUI Ecosystem DEX #Cetus هل تدقيق أمان الكود كاف حقا عند الهجوم؟ لم يتضح بعد سبب وتأثير الهجوم على Cetus ، ولكن يمكننا أولا إلقاء نظرة على تدقيق أمان الكود الخاص ب Cetus. بالنسبة للمبتدئين ، لا يمكننا فهم التكنولوجيا المحددة ، ولكن يمكن فهم ملخص التدقيق هذا. ➤ تدقيق Certik وجد تدقيق أمان كود Certik ل Cetus 2 فقط من المخاطر الطفيفة التي تم حلها. هناك أيضا 9 مخاطر إعلامية ، تم حل 6 منها. أعطى Certik تقييم إجمالي قدره 83.06 ودرجة تدقيق الكود 96. ➤ تقارير تدقيق أخرى من Cetus (سلسلة SUI) يتم إدراج ما مجموعه 5 تقارير تدقيق للكود على Github من Cetus ، باستثناء تدقيق Certik. تشير التقديرات إلى أن فريق المشروع كان يعلم أيضا أن تدقيق Certik كان إجراء شكليا ، لذلك لم يتضمن هذا التقرير. يدعم Cetus كلا من سلاسل Aptos و SUI ، وتقارير التدقيق الخمسة من MoveBit و OtterSec و Zellic ، على التوالي. من بينها ، تقوم MoveBit و OtterSec بمراجعة كود Cetus على سلاسل Aptos و SUI ، على التوالي ، ويجب على Zellic أيضا تدقيق الكود على سلسلة SUI. نظرا لأن Cetus على سلسلة SUI هي التي تعرضت للهجوم هذه المرة ، فسنلقي نظرة فقط على تقرير تدقيق Cetus على سلسلة SUI أدناه. ❚ تقرير التدقيق من MoveBit تم تحميل التقرير على Github في 2023-04-28 إذا لم نفهم المحتوى المحدد للتدقيق ، فيمكننا العثور على جدول مثل هذا لمعرفة عدد مشكلات المخاطر المدرجة في التقرير في كل مستوى ، ومدى جودة حلها. وجد تقرير تدقيق MoveBi على Cetust ما مجموعه 18 مشكلة مخاطر ، بما في ذلك مشكلة مخاطر مميتة واحدة ، و 2 مشكلات مخاطر رئيسية ، و 3 مشكلات متوسطة المخاطر ، و 12 مشكلة مخاطر خفيفة ، تم حلها جميعا. هناك مشاكل أكثر مما وجدته Certik ، وقد حلها Cetus جميعا. ❚ تقرير التدقيق من OtterSec تم تحميل التقرير على Github في 2023-05-12 وجد تقرير تدقيق OtterSec على Cetus ما مجموعه 1 مشكلة عالية المخاطر ، ومشكلة متوسطة المخاطر ، و 7 مخاطر معلوماتية ، ولم يتم التقاط لقطات الشاشة لأن جدول التقرير لم يظهر بشكل مباشر حل مشكلة المخاطر. من بينها ، تم حل القضايا عالية المخاطر ومتوسطة الخطورة. مشكلات المخاطر المعلوماتية ، تم حل 2 ، وإرسال 2 تصحيح ثابت ، و 3 أخرى. بعد دراسة تقريبية ، هذه 3 هي: • رمز إصدارات Sui و Aptos غير متسق ، مما قد يؤثر على دقة حساب أسعار مجمعات السيولة. • عدم وجود التحقق من الدولة مؤقتا ، وعدم التحقق مما إذا كان مجمع السيولة في حالة توقف مؤقت في وقت المبادلة. إذا تم تعليق المجمع ، فقد يظل من الممكن التداول. • تحويل نوع U256 إلى نوع U64 ، إذا تجاوزت القيمة MAX_U64 فسوف يتسبب ذلك في حدوث تجاوز ، مما قد يؤدي إلى أخطاء في الحساب في حالة المعاملات الكبيرة. ومن غير المؤكد ما إذا كان الهجوم مرتبطا بالقضايا المذكورة أعلاه. ❚ تقرير تدقيق من Zellic تم تحميل التقرير على Github في أبريل 2025 حدد تقرير التدقيق الذي قدمه Zellic على Cetus ثلاثة مخاطر معلوماتية ، لم يتم إصلاح أي منها: • مشكلة تفويض الوظيفة التي تسمح لأي شخص بالاتصال لإيداع الرسوم في أي حساب شريك. لا يبدو أنه محفوف بالمخاطر ، إنه يوفر المال ، وليس سحب الأموال. لذلك لم يصلحها Cetus في الوقت الحالي. • هناك وظيفة لا تزال مشار إليها من قبل جيل مهمل ، والرمز زائد عن الحاجة ، والذي يبدو محفوفا بالمخاطر ، لكن الكود ليس إلزاميا بما فيه الكفاية. • يمكن أن تكون إحدى مشكلات عرض واجهة المستخدم في بيانات عرض NFT قائمة على الأحرف ، لكن Cetus استخدم نوع بيانات TypeName الأكثر تعقيدا في لغة Move. هذه ليست مشكلة ، ومن الممكن أن تقوم Cetus بتطوير ميزات أخرى ل NFTs في المستقبل. بشكل عام ، وجد Zellic 3 مشكلات فرعية لطبقة الأوزون ، وهي في الأساس خالية من المخاطر وتنتمي إلى جانب مواصفات الكود. علينا أن نتذكر هؤلاء المدققين الثلاثة: MoveBit و OtterSec و Zellic. نظرا لأن معظم المدققين في السوق جيدون في عمليات تدقيق EVM ، فإن هؤلاء المدققين الثلاثة ينتمون إلى مدققي كود لغة Move. ➤ مستوى التدقيق والأمان (خذ DEX الجديد كمثال) بادئ ذي بدء ، تخضع المشاريع التي لم يتم تدقيقها بواسطة الكود لقدر معين من مخاطر البساطة. بعد كل شيء ، فهو ليس على استعداد حتى لدفع تكاليف هذا التدقيق ، ومن الصعب على الناس تصديق أن لديه رغبة في العمل لفترة طويلة. ثانيا ، تدقيق Certik هو في الواقع نوع من "التدقيق البشري". لماذا هو "تدقيق بشري" ، لدى Certik تعاون وثيق جدا مع coinmarketcap. يوجد في صفحة مشروع coinmarketcap رمز تدقيق ينقر عليه لينقلك إلى منصة الملاحة الخاصة ب Certik ، skynet. مكنت CoinMarketCap ، كمنصة مملوكة لشركة Binance ، Certik بشكل غير مباشر من إقامة شراكة مع Binance. في الواقع ، لطالما كانت بينانس و Certik على علاقة جيدة ، لذلك ستسعى معظم المشاريع التي ترغب في الإدراج في Binance إلى تدقيق Certik. لذلك ، إذا سعى المشروع إلى تدقيق Certik ، فمن المحتمل أن يرغب في إدراجه في Binance. ومع ذلك ، فقد أظهر التاريخ أن احتمال وقوع هجوم على مشروع تم تدقيقه بواسطة Certik فقط ليس منخفضا ، مثل DEXX. حتى أن هناك مشاريع كانت FUG ، مثل ZKasino. بالطبع ، لدى Certik أيضا بعض المساعدة الأمنية الأخرى ، ليس فقط تدقيق التعليمات البرمجية ، وسيقوم Certik بفحص مواقع الويب ، و DNS ، وما إلى ذلك ، وهناك بعض معلومات الأمان بخلاف تدقيق التعليمات البرمجية. ثالثا ، ستسعى العديد من المشاريع إلى 1 ~ أكثر من كيانات تدقيق أخرى عالية الجودة لإجراء عمليات تدقيق أمن الكود. رابعا ، بالإضافة إلى عمليات تدقيق التعليمات البرمجية الاحترافية ، ستنفذ بعض المشاريع أيضا برامج مكافآت الأخطاء ومسابقات التدقيق لتبادل الأفكار والقضاء على نقاط الضعف. نظرا لأن هذا منتج DEX ، فلنأخذ بعض DEXs الأحدث كأمثلة: --------------------------- ✦✦✦GMX V2 هو تدقيق للكود أجرته 5 شركات ، بما في ذلك abdk و certora و dedaub و guardian و sherlock ، وأطلقت برنامج مكافأة خطأ واحد يصل إلى 5 ملايين دولار. ✦✦✦DeGate ، أجرى ما مجموعه 35 شركة من Secbit و Least Authority و Trail of Bits عمليات تدقيق للتعليمات البرمجية ، وأطلقت برنامج مكافأة خطأ واحد يصل إلى 1.11 مليون دولار. ✦✦✦ DYDX V4 هو تدقيق أمان للتعليمات البرمجية تجريه الأنظمة غير الرسمية ، وتم إطلاق برنامج مكافأة خطأ واحد يصل إلى 5 ملايين دولار. ✦✦✦ تجري HyperLiquid عمليات تدقيق أمنية للتعليمات البرمجية بواسطة HyperLiquid ، وقد أطلقت برنامج مكافأة خطأ واحد يصل إلى 1 مليون دولار. ✦✦ يتم تدقيق UniversalX بواسطة Certik ومدقق خبير آخر (تمت إزالة تقرير التدقيق الرسمي مؤقتا من الرفوف) ✦GMGN مميز من حيث أنه لا يوجد تقرير تدقيق للكود ، فقط برنامج مكافأة خطأ واحد يصل إلى 10,000 دولار. ➤ اكتب في النهاية بعد مراجعة عمليات تدقيق أمان الكود لهذه المنصات اللامركزية، يمكننا أن نرى أنه حتى منصات التداول اللامركزية مثل Cetus، والتي يتم تدقيقها بشكل مشترك من قبل 3 مدققين، لا تزال عرضة للهجمات. تضمن عمليات التدقيق متعددة الوكلاء ، جنبا إلى جنب مع برامج مكافآت الثغرات الأمنية أو مسابقات التدقيق ، أمانا آمنا نسبيا. ومع ذلك ، بالنسبة لبعض بروتوكولات Defi الجديدة ، لا تزال هناك مشاكل في تدقيق التعليمات البرمجية لم يتم إصلاحها ، وهذا هو السبب في أن Brother Bee يولي اهتماما خاصا لتدقيق الكود لبروتوكولات Defi الجديدة.