Pemikiran Audit Keamanan yang Dihasilkan dari Insiden Serangan Cetus
Baru-baru ini, bursa terdesentralisasi Cetus dalam ekosistem SUI diserang, memicu perhatian industri sekali lagi terhadap pentingnya audit keamanan kode. Meskipun penyebab dan dampak serangan saat ini masih belum jelas, kita dapat memulai dengan sejarah audit keamanan kode Cetus untuk membahas masalah ini.
Cetus telah menjalani audit kode oleh beberapa lembaga. Hasil audit dari lembaga audit terkenal menunjukkan bahwa hanya ditemukan 2 risiko ringan dan 9 risiko informatif, sebagian besar telah diselesaikan. Lembaga tersebut memberikan skor keseluruhan 83.06, dengan skor audit kode mencapai 96.
Namun, laporan audit yang dirilis oleh Cetus di Github resminya tidak mencakup hasil audit dari lembaga yang disebutkan di atas. Kelima laporan ini berasal dari MoveBit, OtterSec, dan Zellic, yang masing-masing melakukan audit terhadap kode Cetus di jaringan Aptos dan SUI. Karena serangan ini terjadi di jaringan SUI, kami akan fokus pada laporan audit yang terkait dengan jaringan SUI.
Laporan audit MoveBit menunjukkan 18 masalah risiko, termasuk 1 risiko fatal, 2 risiko utama, 3 risiko sedang, dan 12 risiko rendah. Menurut laporan tersebut, semua masalah ini telah diselesaikan.
Laporan audit OtterSec menemukan 1 masalah risiko tinggi, 1 masalah risiko sedang, dan 7 risiko informasional. Masalah risiko tinggi dan risiko sedang telah diselesaikan, 2 dari risiko informasional telah diselesaikan, 2 telah mengajukan tambalan perbaikan, dan 3 belum diselesaikan. Masalah yang belum diselesaikan ini terkait dengan konsistensi kode, validasi status tertunda, dan konversi tipe data.
Laporan audit Zellic menemukan 3 risiko informatif, yang terutama berkaitan dengan otorisasi fungsi, redundansi kode, dan pilihan tipe data, dengan risiko keseluruhan yang relatif rendah.
Perlu dicatat bahwa tiga lembaga audit, MoveBit, OtterSec, dan Zellic, memiliki keunggulan profesional dalam audit kode bahasa Move, yang sangat penting untuk audit keamanan proyek non-EVM.
Dengan membandingkan langkah-langkah keamanan dari beberapa proyek DEX yang baru muncul, kita dapat menemukan sebuah tren: kombinasi audit ganda dan program hadiah bug semakin menjadi praktik umum. Misalnya, sebuah proyek DEX telah menyewa 5 perusahaan untuk melakukan audit kode dan meluncurkan program hadiah bug dengan nilai hingga 5 juta dolar. Proyek lainnya diaudit oleh 3 perusahaan terkenal, sambil menetapkan program hadiah bug sebesar 1,11 juta dolar.
Kasus-kasus ini menunjukkan bahwa bahkan proyek yang telah diaudit oleh beberapa lembaga seperti Cetus dapat mengalami serangan. Oleh karena itu, penerapan audit multi-pihak, ditambah dengan program bug bounty atau kompetisi audit, dapat relatif lebih baik dalam menjaga keamanan proyek. Namun, untuk protokol DeFi yang baru muncul, bahkan jika masalah yang ditemukan selama proses audit belum sepenuhnya diperbaiki, mereka mungkin memilih untuk diluncurkan karena berbagai alasan. Inilah mengapa investor perlu memberikan perhatian khusus pada status audit kode proyek baru.
Secara keseluruhan, audit kode adalah jaminan penting untuk keamanan proyek, tetapi tidak ada jaminan mutlak. Pihak proyek perlu terus memperhatikan masalah keamanan, dan investor juga harus tetap waspada terhadap langkah-langkah keamanan proyek. Dalam bidang cryptocurrency yang berkembang pesat, keamanan selalu menjadi topik yang patut diperhatikan.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
22 Suka
Hadiah
22
8
Posting ulang
Bagikan
Komentar
0/400
GasWastingMaximalist
· 23jam yang lalu
Audit dengan skor setinggi itu masih ada celah? Bahkan anjing pun tidak percaya.
Lihat AsliBalas0
CryptoMotivator
· 08-08 05:49
Laporan audit bisa berguna!
Lihat AsliBalas0
Rekt_Recovery
· 08-06 07:48
ngmi fam... beberapa audit masih terkena rekt
Lihat AsliBalas0
BTCBeliefStation
· 08-06 07:46
Memeriksa dengan sia-sia?
Lihat AsliBalas0
ForkMonger
· 08-06 07:46
hari lain, peretasan lain... skor audit tidak berarti apa-apa frfr
Lihat AsliBalas0
AirdropHunter
· 08-06 07:34
Mengawasi begitu banyak, masih saja terjadi masalah.
Cetus diserang, audit ganda dan bug bounty menjadi tren baru keamanan DEX
Pemikiran Audit Keamanan yang Dihasilkan dari Insiden Serangan Cetus
Baru-baru ini, bursa terdesentralisasi Cetus dalam ekosistem SUI diserang, memicu perhatian industri sekali lagi terhadap pentingnya audit keamanan kode. Meskipun penyebab dan dampak serangan saat ini masih belum jelas, kita dapat memulai dengan sejarah audit keamanan kode Cetus untuk membahas masalah ini.
Cetus telah menjalani audit kode oleh beberapa lembaga. Hasil audit dari lembaga audit terkenal menunjukkan bahwa hanya ditemukan 2 risiko ringan dan 9 risiko informatif, sebagian besar telah diselesaikan. Lembaga tersebut memberikan skor keseluruhan 83.06, dengan skor audit kode mencapai 96.
Namun, laporan audit yang dirilis oleh Cetus di Github resminya tidak mencakup hasil audit dari lembaga yang disebutkan di atas. Kelima laporan ini berasal dari MoveBit, OtterSec, dan Zellic, yang masing-masing melakukan audit terhadap kode Cetus di jaringan Aptos dan SUI. Karena serangan ini terjadi di jaringan SUI, kami akan fokus pada laporan audit yang terkait dengan jaringan SUI.
Laporan audit MoveBit menunjukkan 18 masalah risiko, termasuk 1 risiko fatal, 2 risiko utama, 3 risiko sedang, dan 12 risiko rendah. Menurut laporan tersebut, semua masalah ini telah diselesaikan.
Laporan audit OtterSec menemukan 1 masalah risiko tinggi, 1 masalah risiko sedang, dan 7 risiko informasional. Masalah risiko tinggi dan risiko sedang telah diselesaikan, 2 dari risiko informasional telah diselesaikan, 2 telah mengajukan tambalan perbaikan, dan 3 belum diselesaikan. Masalah yang belum diselesaikan ini terkait dengan konsistensi kode, validasi status tertunda, dan konversi tipe data.
Laporan audit Zellic menemukan 3 risiko informatif, yang terutama berkaitan dengan otorisasi fungsi, redundansi kode, dan pilihan tipe data, dengan risiko keseluruhan yang relatif rendah.
Perlu dicatat bahwa tiga lembaga audit, MoveBit, OtterSec, dan Zellic, memiliki keunggulan profesional dalam audit kode bahasa Move, yang sangat penting untuk audit keamanan proyek non-EVM.
Dengan membandingkan langkah-langkah keamanan dari beberapa proyek DEX yang baru muncul, kita dapat menemukan sebuah tren: kombinasi audit ganda dan program hadiah bug semakin menjadi praktik umum. Misalnya, sebuah proyek DEX telah menyewa 5 perusahaan untuk melakukan audit kode dan meluncurkan program hadiah bug dengan nilai hingga 5 juta dolar. Proyek lainnya diaudit oleh 3 perusahaan terkenal, sambil menetapkan program hadiah bug sebesar 1,11 juta dolar.
Kasus-kasus ini menunjukkan bahwa bahkan proyek yang telah diaudit oleh beberapa lembaga seperti Cetus dapat mengalami serangan. Oleh karena itu, penerapan audit multi-pihak, ditambah dengan program bug bounty atau kompetisi audit, dapat relatif lebih baik dalam menjaga keamanan proyek. Namun, untuk protokol DeFi yang baru muncul, bahkan jika masalah yang ditemukan selama proses audit belum sepenuhnya diperbaiki, mereka mungkin memilih untuk diluncurkan karena berbagai alasan. Inilah mengapa investor perlu memberikan perhatian khusus pada status audit kode proyek baru.
Secara keseluruhan, audit kode adalah jaminan penting untuk keamanan proyek, tetapi tidak ada jaminan mutlak. Pihak proyek perlu terus memperhatikan masalah keamanan, dan investor juga harus tetap waspada terhadap langkah-langkah keamanan proyek. Dalam bidang cryptocurrency yang berkembang pesat, keamanan selalu menjadi topik yang patut diperhatikan.