Напад на Cetus викликав роздуми про аудит безпеки коду
Нещодавно децентралізована біржа Cetus в екосистемі Sui зазнала атаки, що викликало в галузі активні обговорення про ефективність аудиту безпеки коду. На даний момент причини атаки та її наслідки залишаються невизначеними, але ми можемо спочатку ознайомитися з ситуацією з аудитом безпеки коду Cetus.
Відомий аудиторський орган з безпеки провів аудит Cetus і виявив лише 2 невеликі ризики, які вже були усунені, а з 9 інформаційних ризиків 6 вже вирішено. Загальна оцінка, надана цим органом, становить 83,06 бали, а оцінка коду досягає 96 балів.
Однак у 5 звітах про аудит коду, опублікованих офіційно компанією Cetus, не було включено результати аудиту зазначених установ. Ці 5 звітів були підготовлені трьома професійними організаціями: MoveBit, OtterSec та Zellic, і охоплюють код Cetus на ланцюгах Aptos та Sui. Оскільки напад стався на ланцюзі Sui, ми зосереджуємо увагу на звітах про аудит, пов'язаних з ланцюгом Sui.
Аудиторський звіт MoveBit був завантажений на Github 28 квітня 2023 року. У звіті було виявлено 18 ризикових проблем, включаючи 1 критичний ризик, 2 основні ризики, 3 помірні ризики та 12 незначних ризиків. Варто зазначити, що всі ці проблеми були вирішені.
Аудиторський звіт OtterSec був завантажений 12 травня 2023 року. У звіті вказано 1 високий ризик, 1 середній ризик та 7 інформаційних ризиків. Високий та середній ризики були усунені, з 2 інформаційних ризиків 2 були вирішені, 2 подані на виправлення, а 3 залишилися, що стосуються узгодженості кодів версій Sui та Aptos, перевірки стану паузи та перетворення типів даних.
Аудиторський звіт Zellic був завантажений у квітні 2023 року. У звіті виявлено 3 інформаційні ризики, які наразі не виправлено. Ці ризики в основному стосуються авторизації функцій, надмірності коду та вибору типу даних для відображення NFT, загальний рівень ризику є низьким.
Варто зазначити, що MoveBit, OtterSec та Zellic є агентствами, які спеціалізуються на аудиті коду Move, що є особливо важливим на нинішньому ринку, де домінують аудити EVM.
Оглядаючи недавні заходи безпеки деяких нових проектів DEX, ми можемо виявити кілька тенденцій:
GMX V2 пройшов аудит коду п'яти компаній та запровадив програму винагород за вразливості на суму до 5 мільйонів доларів.
DeGate найняла 35 компаній для проведення аудиту, максимальна винагорода за вразливості може досягати 1,11 мільйона доларів.
DYDX V4 був перевірений Informal Systems, також було встановлено програму винагороди за вразливості на суму 5 мільйонів доларів.
Hyperliquid на основі самостійного аудиту пропонує винагороду за вразливості в розмірі 1 мільйон доларів.
UniversalX обрала дві відомі установи для проведення аудиту.
Хоча GMGN не оприлюднила звіт аудиту, вона запровадила програму винагороди за вразливості з максимальною сумою 10000 доларів США за один випадок.
Отже, навіть такі проекти, як Cetus, які пройшли аудит у кількох інституціях, можуть піддаватися атакам. Багатосторонній аудит у поєднанні з програмами винагород за вразливості або конкурсами з аудиту може в певній мірі підвищити безпеку проекту. Однак для нових DeFi-протоколів невиправлені проблеми аудиту все ще заслуговують на увагу. Це також пояснює, чому експерти галузі особливо акцентують увагу на коді аудиту нових протоколів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
17 лайків
Нагородити
17
8
Репост
Поділіться
Прокоментувати
0/400
SchrodingersFOMO
· 13год тому
Аудит настільки високий, що навіть під час атаки не страшно.
Переглянути оригіналвідповісти на0
OffchainWinner
· 15год тому
Шість вразливостей виправлено, а атака все ще триває?
Переглянути оригіналвідповісти на0
MetaverseLandlord
· 15год тому
Для чого потрібен аудит коду...
Переглянути оригіналвідповісти на0
ZeroRushCaptain
· 15год тому
Аудит — це сплата податку на інтелект.
Переглянути оригіналвідповісти на0
YieldHunter
· 15год тому
технічно кажучи... бали аудиту нічого не значать, якщо ви не можете забезпечити прибуток smh
Cetus зазнав атаки, багаторазовий аудит коду не може забезпечити безпеку проекту
Напад на Cetus викликав роздуми про аудит безпеки коду
Нещодавно децентралізована біржа Cetus в екосистемі Sui зазнала атаки, що викликало в галузі активні обговорення про ефективність аудиту безпеки коду. На даний момент причини атаки та її наслідки залишаються невизначеними, але ми можемо спочатку ознайомитися з ситуацією з аудитом безпеки коду Cetus.
Відомий аудиторський орган з безпеки провів аудит Cetus і виявив лише 2 невеликі ризики, які вже були усунені, а з 9 інформаційних ризиків 6 вже вирішено. Загальна оцінка, надана цим органом, становить 83,06 бали, а оцінка коду досягає 96 балів.
Однак у 5 звітах про аудит коду, опублікованих офіційно компанією Cetus, не було включено результати аудиту зазначених установ. Ці 5 звітів були підготовлені трьома професійними організаціями: MoveBit, OtterSec та Zellic, і охоплюють код Cetus на ланцюгах Aptos та Sui. Оскільки напад стався на ланцюзі Sui, ми зосереджуємо увагу на звітах про аудит, пов'язаних з ланцюгом Sui.
Аудиторський звіт MoveBit був завантажений на Github 28 квітня 2023 року. У звіті було виявлено 18 ризикових проблем, включаючи 1 критичний ризик, 2 основні ризики, 3 помірні ризики та 12 незначних ризиків. Варто зазначити, що всі ці проблеми були вирішені.
Аудиторський звіт OtterSec був завантажений 12 травня 2023 року. У звіті вказано 1 високий ризик, 1 середній ризик та 7 інформаційних ризиків. Високий та середній ризики були усунені, з 2 інформаційних ризиків 2 були вирішені, 2 подані на виправлення, а 3 залишилися, що стосуються узгодженості кодів версій Sui та Aptos, перевірки стану паузи та перетворення типів даних.
Аудиторський звіт Zellic був завантажений у квітні 2023 року. У звіті виявлено 3 інформаційні ризики, які наразі не виправлено. Ці ризики в основному стосуються авторизації функцій, надмірності коду та вибору типу даних для відображення NFT, загальний рівень ризику є низьким.
Варто зазначити, що MoveBit, OtterSec та Zellic є агентствами, які спеціалізуються на аудиті коду Move, що є особливо важливим на нинішньому ринку, де домінують аудити EVM.
Оглядаючи недавні заходи безпеки деяких нових проектів DEX, ми можемо виявити кілька тенденцій:
GMX V2 пройшов аудит коду п'яти компаній та запровадив програму винагород за вразливості на суму до 5 мільйонів доларів.
DeGate найняла 35 компаній для проведення аудиту, максимальна винагорода за вразливості може досягати 1,11 мільйона доларів.
DYDX V4 був перевірений Informal Systems, також було встановлено програму винагороди за вразливості на суму 5 мільйонів доларів.
Hyperliquid на основі самостійного аудиту пропонує винагороду за вразливості в розмірі 1 мільйон доларів.
UniversalX обрала дві відомі установи для проведення аудиту.
Хоча GMGN не оприлюднила звіт аудиту, вона запровадила програму винагороди за вразливості з максимальною сумою 10000 доларів США за один випадок.
Отже, навіть такі проекти, як Cetus, які пройшли аудит у кількох інституціях, можуть піддаватися атакам. Багатосторонній аудит у поєднанні з програмами винагород за вразливості або конкурсами з аудиту може в певній мірі підвищити безпеку проекту. Однак для нових DeFi-протоколів невиправлені проблеми аудиту все ще заслуговують на увагу. Це також пояснює, чому експерти галузі особливо акцентують увагу на коді аудиту нових протоколів.