SUI生态DEX #Cetus 受攻击，代码安全审计真的足够吗？ 此次Cetus受攻击的原因及影响暂时还不清楚，我们可以先看一下Cetus的代码安全审计情况。 外行咱们看不懂具体的技术，但是这个审计摘要是能看懂的。 ➤Certik的审计 来看，Certik对Cetus的代码安全审计，只发现2个轻度危险、且已解决。还有9个信息性风险，6个已解决。 Certik给出的综合评分是83.06，代码审计评分是96分。 ➤Cetus的其他审计报告(SUI链) 在Cetus的Github上共列出了5份代码审计报告，其中不包括Certik的审计。估计项目方也知道，Certik的审计就是个形式，所以没把这份报告放进来。 Cetus同时支持Aptos和SUI链，这5份审计报告分别来自MoveBit、OtterSec和Zellic。其中MoveBit、OtterSec分别对Cetus在Aptos和SUI链上的代码进行审计，Zellic审计的应该也是SUI链上的代码。 因为此次被攻击的是SUI链上的Cetus，因此下面只看Cetus在SUI链的审计报告。 ❚ 来自MoveBit的审计报告 报告上传Github时间：2023-04-28 我们如果看不懂具体的审计内容，可以找到这样的表格，看看报告中列出的各个级别的风险问题的数量，和解决情况。 MoveBi对Cetust的审计报告，共发现18个风险问题，包括1个致命风险问题、2个主要风险问题、3个中度风险问题、12个轻度风险问题，全部已解决。 比Certik发现的问题要多，并且Cetus已经全部解决了这些问题。 ❚ 来自OtterSec的审计报告 报告上传Github时间：2023-05-12 OtterSec对Cetus的审计报告共发现1个高风险问题、1个中度风险问题和7个信息性风险，因为报告的表格中没有直接显示风险问题解决情况，就不截图了。 其中，高风险问题和中度风险问题都已经解决。信息性风险问题，解决了2个，有2个提交了修复补丁，还有3个。大致研究了一下，这3个分别是： •Sui与Aptos版本代码不一致问题，可能影响流动池的价格计算准确性。 •缺少暂停状态验证，在Swap时没有验证流动性池是否处于暂停状态。如果池子被暂停可能仍然可以交易。 •将u256类型转换为u64类型，如果值超过MAX_U64会导致溢出，在大额交易时，可能导致计算出错。 现在不确定被攻击是否和以上问题相关。 ❚ 来自Zellic的审计报告 报告上传Github时间：2025年4月 Zellic对Cetus的审计报告共发现3个信息性风险、都未修复： • 一个函数授权问题，允许任何人调用向任何合伙伴账户里存入费用。这好像没啥风险，是存钱、又不是取钱。所以Cetus暂时也没去修复。 • 存在一个已弃用代仍然被引用的函数，代码冗余，貌似没啥风险，只不过代码规范性不太够。 • NFT显示数据中的一个UI呈现问题，本来可以用字符型，但Cetus用了Move语言中比较复杂的TypeName数据类型。这不算啥问题，而且可能未来Cetus会给NFT开发其他功能。 总体上来说，Zellic发现了3个臭氧层子问题，基本上没啥风险，属于代码规范性方面的。 我们要记住这三家审计机构：MoveBit、OtterSec、Zellic。因为现在市场上的审计机构多数是擅长EVM审计，这三家审计机构属于Move语言代码审计机构。 ➤审计与安全级别(以新DEX为例) 首先，没有代码审计过的项目，是有一定Rug风险的。毕竟他连这个审计的钱都不愿意出，很难让人相信有长期经营的愿望。 其次，Certik审计，其实是一种"人情式审计"。为什么说是"人情式审计"呢，Certik与coinmarketcap有非常紧密的合作。在coinmarketcap的项目页面上有一个审计图标，点击会进入Certik的导航平台skynet。 coinmarketcap作为币安旗下的平台，间接的使Certik与币安建立了合作关系。事实上币安和Certik的关系一向不错，因此想上币安的项目大部分会寻求Certik的审计。 所以一个项目如果寻求Certik的审计，大概率想上币安。 但是，历史证明，仅由Certik审计的项目被攻击的概率不低，例如DEXX。甚至有的项目已经FUG了，例如ZKasino。 当然，Certik也有其他的一些安全性帮助，不仅有代码审计，Certik对网站、DNS等会进行扫描，有一些代码审计以外的安全信息。 第三，不少项目会寻求1家~多家其他的优质审计主体进行代码安全审计。 第四，除了专业代码审计，某些项目还会开展漏洞赏金计划和审计竞争，集思广议、排除漏洞。 因为本次受攻击的是DEX产品，所以以一些较新的DEX为例： --------------------------- ✦✦✦GMX V2，由abdk、certora、dedaub、guardian、sherlock共5家公司进行代码审计，并推出了单项最高500万美元漏洞赏金计划。 ✦✦✦DeGate，由Secbit、Least Authority、Trail of Bits共35家公司进行代码审计，并推出了单项最高111万美元漏洞赏金计划。 ✦✦✦DYDX V4由Informal Systems进行代码安全审计，并推出了单项最高500万美元漏洞赏金计划。 ✦✦✦hyperliquid由hyperliquid进行代码安全审计，并推出了单项最高100万美元漏洞赏金计划。 ✦✦UniversalX由是Certik和另一家专家审计机构审计(官方暂时下架了审计报告) ✦GMGN比较特殊，没有找到代码审计报告，只有有单项最高1万美元的漏洞赏金计划。 ➤写在最后 经过回顾这些DEX的代码安全审计情况，我们可以发现，即使像Cetus这样由3家审计机构共同审计的DEX也仍然会受到攻击。多主体审计，配合漏洞赏计划或审计竞赛，安全性相对有保障。 但是，对于一些新的Defi协议而言，代码审计中尚有问题没有修复，这就是为什么蜂兄格外关注新的Defi协议的代码审计情况。