DEX екосистеми SUI #Cetus чи дійсно аудит безпеки коду достатній при атаці? Причина та наслідки атаки на Cetus поки що не зрозумілі, але ми можемо спочатку поглянути на аудит безпеки коду Cetus. Для непосвячених ми не можемо зрозуміти конкретну технологію, але цей підсумок аудиту можна зрозуміти. ➤ Аудит компанії Certik Аудит безпеки коду Certik Cetus виявив лише 2 незначні небезпеки, які були усунені. Також є 9 інформаційних ризиків, 6 вирішених. Certik дав загальний рейтинг 83,06 і 96 балів аудиту коду. ➤ Інші аудиторські звіти від Cetus (SUI Chain) Загалом на Github Cetus розміщено 5 звітів про аудит коду, за винятком аудиту Certik. Підраховано, що команда проекту також знала, що аудит Certik був формальністю, тому він не включав цей звіт. Cetus підтримує як ланцюги Aptos, так і SUI, а 5 аудиторських звітів надійшли від MoveBit, OtterSec і Zellic відповідно. Серед них MoveBit і OtterSec проводять аудит коду Cetus на ланцюгах Aptos і SUI відповідно, а Zellic також повинен провести аудит коду в ланцюжку SUI. Оскільки цього разу атаку зазнав саме Cetus у ланцюжку SUI, ми розглянемо лише звіт про аудит Cetus щодо ланцюга SUI нижче. ❚ Звіт про аудит від MoveBit Звіт був завантажений на Github 28.04.2023 Якщо ми не розуміємо конкретного змісту аудиту, ми можемо знайти таку таблицю, щоб побачити кількість проблем з ризиками, перелічених у звіті на кожному рівні, і наскільки добре вони вирішені. Аудиторський звіт MoveBi щодо Cetust виявив загалом 18 проблем з ризиком, включаючи 1 проблему зі смертельним ризиком, 2 основні проблеми з ризиком, 3 проблеми із середнім ризиком і 12 проблем із помірним ризиком, усі з яких були вирішені. Проблем більше, ніж знайшов Certik, і Cetus вирішив їх усі. ❚ Аудиторський звіт від OtterSec Звіт був завантажений на Github 12.05.2023 Аудиторський звіт OtterSec щодо Cetus виявив загалом 1 проблему з високим ризиком, 1 проблему із середнім ризиком та 7 інформаційних ризиків, а скріншоти не були зроблені, оскільки таблиця звітів не показувала безпосередньо вирішення проблеми ризику. Серед них вирішено питання як високого, так і середнього ризику. Проблеми з інформаційними ризиками, 2 вирішено, 2 виправлені виправлення надіслано та ще 3 виправлено. Після грубого вивчення ці 3 такі: •Код версій Sui та Aptos суперечливий, що може вплинути на точність розрахунку ціни пулів ліквідності. • Відсутність верифікації призупиненого стану, відсутність перевірки того, чи знаходиться пул ліквідності в призупиненому стані на момент обміну. Якщо пул буде призупинено, можливо, все ще можна буде торгувати. • Перетворіть тип U256 в тип U64, якщо значення перевищує MAX_U64 це викличе переповнення, що може призвести до помилок розрахунків у разі великих транзакцій. Невідомо, чи пов'язана атака з вищезазначеними питаннями. ❚ Аудиторський звіт від Zellic Звіт був завантажений на Github у квітні 2025 року Аудиторський звіт Zellic щодо Cetus виявив три інформаційні ризики, жоден з яких не був усунутий: • Проблема авторизації функції, яка дозволяє будь-кому зателефонувати для внесення комісії на будь-який партнерський рахунок. Це начебто не ризиковано, це економія грошей, а не зняття грошей. Тож Кит поки що це не виправив. • Є функція, на яку все ще посилається застаріла генерація, а код є зайвим, що здається ризикованим, але код недостатньо директивний. • Одна з проблем рендерингу інтерфейсу користувача в даних відображення NFT могла бути пов'язана з символами, але Cetus використовував складніший тип даних TypeName у мові Move. Це не проблема, і не виключено, що в майбутньому Cetus розробить інші функції для NFT. В цілому, Зелліч виявив 3 підпроблеми озонового шару, які в основному не пов'язані з ризиком і належать до аспекту специфікації коду. Ми повинні пам'ятати про цих трьох аудиторів: MoveBit, OtterSec, Zellic. Оскільки більшість аудиторів на ринку добре справляються з аудитами EVM, ці три аудитори належать до аудиторів коду мови Move. ➤ Рівень аудиту та безпеки (візьмемо для прикладу нову DEX) Перш за все, проекти, які не пройшли аудит за кодом, піддаються певному ризику Rug. Адже він навіть не готовий платити за цю перевірку, і людям складно повірити в те, що у нього є бажання працювати тривалий час. По-друге, аудит Certik – це фактично різновид «людського аудиту». Чому це "людський аудит", Certik має дуже тісну співпрацю з coinmarketcap. На сторінці проекту coinmarketcap є значок аудиту, який натискає на нього, щоб перевести вас на навігаційну платформу Certik, skynet. coinmarketcap, як платформа, що належить Binance, опосередковано дозволила Certik встановити партнерство з Binance. Насправді, Binance і Certik завжди мали хороші відносини, тому більшість проектів, які хочуть розміститися на Binance, будуть звертатися за аудитом Certik. Тому, якщо проект звертається за аудитом Certik, він, швидше за все, захоче розмістити його на Binance. Однак історія показала, що ймовірність атаки на проект, який перевіряється тільки Certik, не низька, наприклад, DEXX. Є навіть проекти, які були FUG, наприклад ZKasino. Звичайно, Certik також має деяку іншу допомогу з безпеки, не лише аудит коду, Certik скануватиме веб-сайти, DNS тощо, а також є деяка інформація про безпеку, крім аудиту коду. По-третє, багато проектів будуть шукати 1~більше, ніж одна інша високоякісна аудиторська організація для проведення аудиту безпеки коду. По-четверте, крім професійного аудиту коду, деякі проєкти також проводитимуть програми винагороди за виявлення помилок та конкурси аудитів для мозкового штурму та усунення вразливостей. Оскільки це продукт DEX, давайте розглянемо кілька нових DEX як приклад: --------------------------- ✦✦✦GMX V2 – це аудит коду, проведений 5 компаніями, включаючи abdk, certora, dedaub, Guardian і Sherlock, і запустив єдину програму винагороди за виявлення помилок у розмірі до 5 мільйонів доларів. ✦✦✦DeGate, загалом 35 компаній з Secbit, Least Authority та Trail of Bits провели аудит коду та запустили одну програму винагороди за виявлення помилок у розмірі до $1,11 млн. ✦✦✦DYDX V4 – це аудит безпеки коду, проведений компанією Informal Systems, і була запущена єдина програма винагороди за виявлення помилок у розмірі до 5 мільйонів доларів. ✦✦✦HyperLiquid проводить аудит безпеки коду від HyperLiquid і запустила одну програму винагороди за виявлення помилок у розмірі до 1 мільйона доларів. ✦✦UniversalX проходить аудит компанією Certik та іншим експертом-аудитором (офіційний аудиторський звіт тимчасово видалено з полиць) ✦GMGN особливий тим, що звіт про аудит коду не знайдено, лише одна програма винагороди за помилки до $10 000. ➤ Напишіть в кінці Ознайомившись з аудитами безпеки коду цих DEX, ми можемо побачити, що навіть такі DEX, як Cetus, які спільно перевіряються 3 аудиторами, все ще вразливі до атак. Багатоагентні аудити в поєднанні з програмами винагороди за вразливості або змаганнями з аудиту забезпечують відносно безпечну безпеку. Однак для деяких нових протоколів Defi все ще існують проблеми в аудиті коду, які не були виправлені, тому Brother Bee приділяє особливу увагу аудиту коду нових протоколів Defi.