SUI-ecosysteem DEX #Cetus is aangevallen, is codebeveiligingsaudit echt voldoende? De redenen en gevolgen van de aanval op Cetus zijn voorlopig nog onduidelijk, laten we eerst kijken naar de codebeveiligingsaudit van Cetus. Als leken begrijpen we de specifieke technologie misschien niet, maar deze audit samenvatting is wel te begrijpen. ➤ Certik's audit Laten we kijken, Certik heeft bij de codebeveiligingsaudit van Cetus slechts 2 lichte risico's ontdekt, die inmiddels zijn opgelost. Daarnaast zijn er 9 informatieve risico's, waarvan er 6 zijn opgelost. Certik heeft een algehele score van 83,06 gegeven, de score voor de code-audit is 96 punten. ➤ Andere auditrapporten van Cetus (SUI-keten) Op de Github van Cetus zijn in totaal 5 code-auditrapporten vermeld, exclusief de audit van Certik. Het lijkt erop dat het projectteam ook weet dat de audit van Certik slechts een formaliteit is, daarom is dit rapport niet opgenomen. Cetus ondersteunt zowel de Aptos- als de SUI-keten, en deze 5 auditrapporten zijn afkomstig van MoveBit, OtterSec en Zellic. MoveBit en OtterSec hebben respectievelijk de code van Cetus op de Aptos- en SUI-keten geaudit, en Zellic heeft waarschijnlijk ook de code op de SUI-keten geaudit. Aangezien de aanval gericht was op Cetus op de SUI-keten, bekijken we hieronder alleen het auditrapport van Cetus op de SUI-keten. ❚ Auditrapport van MoveBit Rapport geüpload op Github: 2023-04-28 Als we de specifieke auditinhoud niet begrijpen, kunnen we zo'n tabel vinden en kijken naar het aantal risico's op verschillende niveaus dat in het rapport is vermeld, en de status van de oplossingen. In het auditrapport van MoveBit zijn in totaal 18 risico's ontdekt, waaronder 1 kritiek risico, 2 belangrijke risico's, 3 gematigde risico's en 12 lichte risico's, die allemaal zijn opgelost. Dit aantal is hoger dan de problemen die Certik heeft ontdekt, en Cetus heeft deze problemen allemaal opgelost. ❚ Auditrapport van OtterSec Rapport geüpload op Github: 2023-05-12 OtterSec heeft in het auditrapport van Cetus 1 hoog risico, 1 gematigd risico en 7 informatieve risico's ontdekt. Omdat de tabel in het rapport de status van de oplossingen niet direct weergeeft, zal ik geen screenshot maken. Het hoog risico en het gematigd risico zijn inmiddels opgelost. Van de informatieve risico's zijn er 2 opgelost, 2 hebben een patch ingediend, en er zijn nog 3 over. Na een globale studie zijn deze 3 als volgt: • Probleem met inconsistentie tussen de Sui- en Aptos-versie van de code, wat de nauwkeurigheid van de prijsberekening van de liquiditeitspool kan beïnvloeden. • Ontbreken van een validatie van de pauzestatus, waardoor er geen controle is of de liquiditeitspool in een pauzestatus verkeert tijdens een Swap. Als de pool is gepauzeerd, kan er mogelijk nog steeds worden verhandeld. • Het omzetten van het u256-type naar het u64-type, wat kan leiden tot een overflow als de waarde MAX_U64 overschrijdt, wat bij grote transacties kan leiden tot rekenfouten. Het is momenteel onduidelijk of de aanval verband houdt met deze problemen. ❚ Auditrapport van Zellic Rapport geüpload op Github: april 2025 Zellic heeft in het auditrapport van Cetus 3 informatieve risico's ontdekt, die allemaal niet zijn opgelost: • Een functie-autorisatieprobleem dat iedereen toestaat om kosten naar elk partneraccount te storten. Dit lijkt geen risico te zijn, het is geld storten, niet opnemen. Daarom heeft Cetus dit voorlopig niet opgelost. • Er is een functie die is afgeschreven maar nog steeds wordt aangeroepen, wat leidt tot code-overbodigheid, wat lijkt op een laag risico, maar de code-normativiteit is niet voldoende. • Een UI-weergaveprobleem in de NFT-gegevens, dat oorspronkelijk met een karaktertype kon worden gedaan, maar Cetus heeft een complexer TypeName-datatype uit de Move-taal gebruikt. Dit is geen probleem en mogelijk zal Cetus in de toekomst andere functies voor NFT's ontwikkelen. Over het algemeen heeft Zellic 3 subproblemen ontdekt die weinig risico met zich meebrengen en voornamelijk betrekking hebben op code-normativiteit. We moeten deze drie auditinstellingen onthouden: MoveBit, OtterSec, Zellic. Omdat de meeste auditinstellingen op de markt gespecialiseerd zijn in EVM-audits, behoren deze drie tot de instellingen die zich richten op Move-taalcode-audits. ➤ Audit- en beveiligingsniveaus (met nieuwe DEX als voorbeeld) Ten eerste, projecten die niet zijn geaudit, hebben een bepaald Rug-risico. Tenslotte, als ze zelfs het geld voor deze audit niet willen uitgeven, is het moeilijk om te geloven dat ze de intentie hebben om op lange termijn te opereren. Ten tweede, Certik-audits zijn eigenlijk een soort "persoonlijke audits". Waarom noemen we het "persoonlijke audits"? Certik heeft een zeer nauwe samenwerking met CoinMarketCap. Op de projectpagina van CoinMarketCap is er een auditpictogram, dat, wanneer erop geklikt, naar het navigatieplatform Skynet van Certik leidt. CoinMarketCap, als platform onder Binance, heeft indirect de samenwerking tussen Certik en Binance bevorderd. In feite is de relatie tussen Binance en Certik altijd goed geweest, dus de meeste projecten die op Binance willen worden genoteerd, zullen Certik's audit zoeken. Dus als een project Certik's audit zoekt, is de kans groot dat ze op Binance willen komen. Echter, de geschiedenis heeft bewezen dat projecten die alleen door Certik zijn geaudit, een aanzienlijke kans hebben om aangevallen te worden, zoals DEXX. Sommige projecten zijn zelfs al FUG gegaan, zoals ZKasino. Natuurlijk biedt Certik ook andere veiligheidsdiensten aan, niet alleen code-audits, maar ook scans van websites, DNS, en andere veiligheidsinformatie buiten de code-audit. Ten derde, veel projecten zullen 1 tot meerdere andere kwaliteitsauditinstellingen zoeken voor codebeveiligingsaudits. Ten vierde, naast professionele code-audits, zullen sommige projecten ook bug bounty-programma's en auditcompetities opzetten om ideeën te verzamelen en kwetsbaarheden uit te sluiten. Aangezien dit een aanval op een DEX-product betreft, nemen we enkele nieuwere DEX als voorbeeld: --------------------------- ✦✦✦ GMX V2, geaudit door 5 bedrijven: abdk, certora, dedaub, guardian, sherlock, en heeft een bug bounty-programma met een maximale beloning van 5 miljoen dollar. ✦✦✦ DeGate, geaudit door 35 bedrijven: Secbit, Least Authority, Trail of Bits, en heeft een bug bounty-programma met een maximale beloning van 1,11 miljoen dollar. ✦✦✦ DYDX V4, geaudit door Informal Systems, en heeft een bug bounty-programma met een maximale beloning van 5 miljoen dollar. ✦✦✦ hyperliquid, geaudit door hyperliquid, en heeft een bug bounty-programma met een maximale beloning van 1 miljoen dollar. ✦✦ UniversalX, geaudit door Certik en een andere expert auditinstelling (het officiële auditrapport is tijdelijk verwijderd). ✦ GMGN is bijzonder, er is geen auditrapport gevonden, alleen een bug bounty-programma met een maximale beloning van 10.000 dollar. ➤ Tot slot Na het bekijken van de codebeveiligingsaudit van deze DEX, kunnen we concluderen dat zelfs een DEX zoals Cetus, dat door 3 auditinstellingen gezamenlijk is geaudit, nog steeds kan worden aangevallen. Meerdere auditinstellingen, in combinatie met bug bounty-programma's of auditcompetities, bieden relatief meer veiligheid. Echter, voor sommige nieuwe DeFi-protocollen zijn er nog steeds problemen die niet zijn opgelost in de code-audit, wat de reden is waarom de broer van de bijen bijzonder aandacht besteedt aan de code-auditstatus van nieuwe DeFi-protocollen.