SUI Ecosystem DEX #Cetus Este cu adevărat suficient auditul de securitate a codului atunci când este atacat? Cauza și impactul atacului asupra Cetus nu sunt încă clare, dar putem arunca mai întâi o privire asupra auditului de securitate a codului Cetus. Pentru cei neinițiați, nu putem înțelege tehnologia specifică, dar acest rezumat al auditului poate fi înțeles. ➤ Auditul Certik Auditul de securitate al Codului Certik al Cetus a găsit doar 2 pericole minore care au fost rezolvate. Există, de asemenea, 9 riscuri informaționale, 6 rezolvate. Certik a acordat un rating general de 83,06 și un scor de audit de cod de 96. ➤ Alte rapoarte de audit de la Cetus (SUI Chain) Un total de 5 rapoarte de audit de cod sunt listate pe Github-ul Cetus, excluzând auditul Certik. Se estimează că și echipa de proiect știa că auditul Certik a fost o formalitate, deci nu a inclus acest raport. Cetus acceptă atât lanțurile Aptos, cât și SUI, iar cele 5 rapoarte de audit sunt de la MoveBit, OtterSec și, respectiv, Zellic. Printre acestea, MoveBit și OtterSec auditează codul Cetus pe lanțurile Aptos și, respectiv, SII, iar Zellic ar trebui să auditeze și codul pe lanțul SUI. Deoarece Cetus din lanțul SUI a fost atacat de data aceasta, ne vom uita doar la raportul de audit al Cetus pe lanțul SUI de mai jos. ❚ Raport de audit de la MoveBit Raportul a fost încărcat pe Github pe 2023-04-28 Dacă nu înțelegem conținutul specific al auditului, putem găsi un tabel ca acesta pentru a vedea numărul de probleme de risc enumerate în raport la fiecare nivel și cât de bine sunt rezolvate. Raportul de audit al MoveBi privind Cetust a găsit un total de 18 probleme de risc, inclusiv 1 problemă de risc fatal, 2 probleme de risc major, 3 probleme de risc mediu și 12 probleme de risc ușor, toate acestea fiind rezolvate. Sunt mai multe probleme decât a găsit Certik, iar Cetus le-a rezolvat pe toate. ❚ Raport de audit de la OtterSec Raportul a fost încărcat pe Github pe 2023-05-12 Raportul de audit al OtterSec privind Cetus a găsit un total de 1 problemă cu risc ridicat, 1 problemă cu risc mediu și 7 riscuri informaționale, iar capturile de ecran nu au fost făcute deoarece tabelul de raport nu a arătat direct rezolvarea problemei de risc. Printre acestea, au fost rezolvate atât problemele cu risc ridicat, cât și cele cu risc mediu. Probleme de risc informațional, 2 rezolvate, 2 patch-uri corecte trimise și încă 3. După un studiu aproximativ, acestea 3 sunt: •Codul versiunilor Sui și Aptos este inconsecvent, ceea ce poate afecta acuratețea calculului prețurilor fondurilor de lichiditate. • Lipsa verificării stării întrerupte, nicio verificare dacă fondul de lichidități este într-o stare într-o stare întreruptă în momentul swap-ului. Dacă fondul este suspendat, este posibil să se tranzacționeze. • Convertiți tipul U256 în tipul U64, dacă valoarea depășește MAX_U64 va provoca depășire, ceea ce poate duce la erori de calcul în cazul tranzacțiilor mari. Nu este sigur dacă atacul este legat de problemele de mai sus. ❚ Raport de audit de la Zellic Raportul a fost încărcat pe Github în aprilie 2025 Raportul de audit al lui Zellic asupra Cetus a identificat trei riscuri informaționale, dintre care niciunul nu a fost remediat: • O problemă de autorizare a funcției care permite oricui să sune pentru a depune taxe în orice cont de partener. Nu pare a fi riscant, înseamnă să economisești bani, nu să retragi bani. Așa că Cetus nu a rezolvat-o deocamdată. • Există o funcție la care se face încă referire o generație învechită, iar codul este redundant, ceea ce pare a fi riscant, dar codul nu este suficient de prescriptiv. • Una dintre problemele de redare a interfeței de utilizare în datele de afișare NFT ar fi putut fi bazată pe caractere, dar Cetus a folosit tipul de date mai complex TypeName în limbajul Move. Aceasta nu este o problemă și este posibil ca Cetus să dezvolte alte funcții pentru NFT-uri în viitor. În general, Zellic a găsit 3 sub-probleme ale stratului de ozon, care sunt practic lipsite de riscuri și aparțin aspectului de specificație a codului. Trebuie să ne amintim de acești trei auditori: MoveBit, OtterSec, Zellic. Deoarece majoritatea auditorilor de pe piață sunt buni la auditurile EVM, acești trei auditori aparțin auditorilor de cod de limbaj Move. ➤ Nivel de audit și securitate (Să luăm ca exemplu noul DEX) În primul rând, proiectele care nu au fost auditate prin cod sunt supuse unui anumit risc Rug. La urma urmei, nici măcar nu este dispus să plătească pentru acest audit și este greu pentru oameni să creadă că are dorința de a funcționa de mult timp. În al doilea rând, auditul Certik este de fapt un fel de "audit uman". De ce este un "audit uman", Certik are o cooperare foarte strânsă cu coinmarketcap. Pe pagina proiectului coinmarketcap există o pictogramă de audit, care face clic pe ea pentru a vă duce la platforma de navigare Certik, skynet. coinmarketcap, ca platformă deținută de Binance, i-a permis indirect lui Certik să stabilească un parteneriat cu Binance. De fapt, Binance și Certik au avut întotdeauna o relație bună, așa că majoritatea proiectelor care doresc să se listeze pe Binance vor solicita auditul Certik. Prin urmare, dacă un proiect solicită auditul Certik, este probabil să dorească să se listeze pe Binance. Cu toate acestea, istoria a arătat că probabilitatea unui atac asupra unui proiect auditat doar de Certik nu este scăzută, cum ar fi DEXX. Există chiar și proiecte care au fost FUG, cum ar fi ZKasino. Desigur, Certik are și un alt ajutor de securitate, nu numai auditarea codului, Certik va scana site-uri web, DNS etc. și există unele informații de securitate, altele decât auditarea codului. În al treilea rând, multe proiecte vor căuta 1~mai mult decât o altă entitate de audit de înaltă calitate pentru a efectua audituri de securitate a codului. În al patrulea rând, pe lângă auditurile profesionale de cod, unele proiecte vor desfășura și programe de recompense pentru erori și competiții de audit pentru a face brainstorming și a elimina vulnerabilitățile. Deoarece acesta este un produs DEX, să luăm câteva DEX mai noi ca exemple: --------------------------- ✦✦✦GMX V2 este un audit de cod realizat de 5 companii, inclusiv abdk, certora, dedaub, guardian și sherlock, și a lansat un singur program de recompense pentru erori de până la 5 milioane de dolari. ✦✦✦DeGate, un total de 35 de companii din Secbit, Least Authority și Trail of Bits au efectuat audituri de cod și au lansat un singur program de recompense pentru erori de până la 1,11 milioane de dolari. ✦✦✦DYDX V4 este un audit de securitate a codului realizat de Informal Systems și a fost lansat un singur program de recompense pentru erori de până la 5 milioane de dolari. ✦✦✦HyperLiquid efectuează audituri de securitate a codului de către HyperLiquid și a lansat un singur program de recompense pentru erori de până la 1 milion de dolari. ✦✦UniversalX este auditat de Certik și de un alt auditor expert (raportul oficial de audit a fost eliminat temporar de pe rafturi) ✦GMGN este special prin faptul că nu s-a găsit niciun raport de audit al codului, doar un singur program de recompensă pentru erori de până la 10.000 USD. ➤ Scrie la sfârșit După ce am analizat auditurile de securitate a codului acestor DEX-uri, putem vedea că chiar și DEX-urile precum Cetus, care sunt auditate în comun de 3 auditori, sunt încă vulnerabile la atacuri. Auditurile cu mai mulți agenți, combinate cu programe de recompense pentru vulnerabilități sau competiții de audit, asigură o securitate relativ sigură. Cu toate acestea, pentru unele protocoale Defi noi, există încă probleme în auditul codului care nu au fost rezolvate, motiv pentru care Brother Bee acordă o atenție deosebită auditului codului noilor protocoale Defi.