Reflexões sobre a auditoria de segurança após o ataque ao Cetus
Recentemente, a exchange descentralizada Cetus no ecossistema SUI foi atacada, levantando novamente a atenção da indústria sobre a importância da auditoria de segurança de código. Embora a causa específica e o impacto do ataque ainda não sejam claros, podemos abordar essa questão analisando a história da auditoria de segurança de código da Cetus.
O Cetus já foi auditado por várias instituições. Uma conhecida empresa de auditoria revelou que, na auditoria do Cetus, foram encontrados apenas 2 riscos leves e 9 riscos informativos, a maioria dos quais já foi resolvida. A pontuação geral dada pela instituição foi de 83,06, com uma pontuação de auditoria de código de 96.
No entanto, os 5 relatórios de auditoria divulgados pela Cetus em seu Github oficial não incluem os resultados de auditoria das instituições mencionadas acima. Esses 5 relatórios são da MoveBit, OtterSec e Zellic, e auditaram o código da Cetus nas blockchains Aptos e SUI. Como o ataque ocorreu na blockchain SUI, focamos nos relatórios de auditoria relacionados à SUI.
O relatório de auditoria da MoveBit identificou 18 questões de risco, incluindo 1 risco fatal, 2 riscos principais, 3 riscos moderados e 12 riscos leves. De acordo com o relatório, essas questões foram todas resolvidas.
O relatório de auditoria da OtterSec identificou 1 problema de alto risco, 1 problema de risco moderado e 7 riscos informativos. Os problemas de alto e moderado risco foram resolvidos, dos riscos informativos, 2 foram resolvidos, 2 tiveram patches de correção submetidos e 3 permanecem não resolvidos. Os problemas não resolvidos estão relacionados à consistência do código, à verificação do estado de pausa e à conversão de tipos de dados.
O relatório de auditoria da Zellic identificou 3 riscos informativos, principalmente relacionados à autorização de funções, redundância de código e escolha de tipos de dados, com um risco geral considerado baixo.
É importante notar que as três empresas de auditoria, MoveBit, OtterSec e Zellic, possuem vantagens profissionais na auditoria de código na linguagem Move, o que é especialmente importante para a auditoria de segurança de projetos que não são baseados em EVM.
Ao comparar as medidas de segurança de alguns projetos DEX emergentes, podemos identificar uma tendência: a auditoria múltipla combinada com programas de recompensas por vulnerabilidades está se tornando uma prática comum. Por exemplo, um projeto DEX contratou 5 empresas para auditoria de código e lançou um programa de recompensas por vulnerabilidades de até 5 milhões de dólares. Outro projeto foi auditado por 3 empresas renomadas, enquanto estabeleceu um programa de recompensas por vulnerabilidades de 1,11 milhão de dólares.
Esses casos mostram que até projetos auditados por várias instituições, como a Cetus, podem ser alvo de ataques. Portanto, adotar auditorias de múltiplas partes, complementadas por programas de recompensas por vulnerabilidades ou competições de auditoria, pode garantir uma segurança relativamente melhor para os projetos. No entanto, para protocolos DeFi emergentes, pode haver a escolha de lançar mesmo quando os problemas identificados durante o processo de auditoria ainda não foram totalmente resolvidos, por vários motivos. É por isso que os investidores precisam prestar atenção especial à situação da auditoria de código de novos projetos.
De um modo geral, a auditoria de código é uma importante garantia de segurança para projetos, mas não é infalível. A equipe do projeto deve manter um foco contínuo nas questões de segurança, e os investidores também devem estar atentos às medidas de segurança do projeto. No campo das criptomoedas em rápida evolução, a segurança é sempre um tópico que merece atenção.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
22 Curtidas
Recompensa
22
8
Repostar
Compartilhar
Comentário
0/400
GasWastingMaximalist
· 08-08 16:19
A auditoria é tão alta e ainda há falhas? Nem os cães acreditam.
Ver originalResponder0
CryptoMotivator
· 08-08 05:49
O relatório de auditoria pode ser útil!
Ver originalResponder0
Rekt_Recovery
· 08-06 07:48
ngmi família... múltiplas auditorias ainda ficaram rekt
Ver originalResponder0
BTCBeliefStation
· 08-06 07:46
Apenas uma revisão solitária?
Ver originalResponder0
ForkMonger
· 08-06 07:46
mais um dia, mais um hack... as pontuações de auditoria não significam nada frfr
Ver originalResponder0
AirdropHunter
· 08-06 07:34
Reveja tanto, e ainda assim, as coisas acontecem.
Ver originalResponder0
MerkleDreamer
· 08-06 07:25
Resultado da auditoria de 96 pontos, morri de rir💀
Ver originalResponder0
NftDataDetective
· 08-06 07:19
as auditorias não significam nada hoje em dia fr fr
Cetus foi atacado, múltiplas auditorias e recompensas pelos erros tornam-se a nova tendência de segurança DEX
Reflexões sobre a auditoria de segurança após o ataque ao Cetus
Recentemente, a exchange descentralizada Cetus no ecossistema SUI foi atacada, levantando novamente a atenção da indústria sobre a importância da auditoria de segurança de código. Embora a causa específica e o impacto do ataque ainda não sejam claros, podemos abordar essa questão analisando a história da auditoria de segurança de código da Cetus.
O Cetus já foi auditado por várias instituições. Uma conhecida empresa de auditoria revelou que, na auditoria do Cetus, foram encontrados apenas 2 riscos leves e 9 riscos informativos, a maioria dos quais já foi resolvida. A pontuação geral dada pela instituição foi de 83,06, com uma pontuação de auditoria de código de 96.
No entanto, os 5 relatórios de auditoria divulgados pela Cetus em seu Github oficial não incluem os resultados de auditoria das instituições mencionadas acima. Esses 5 relatórios são da MoveBit, OtterSec e Zellic, e auditaram o código da Cetus nas blockchains Aptos e SUI. Como o ataque ocorreu na blockchain SUI, focamos nos relatórios de auditoria relacionados à SUI.
O relatório de auditoria da MoveBit identificou 18 questões de risco, incluindo 1 risco fatal, 2 riscos principais, 3 riscos moderados e 12 riscos leves. De acordo com o relatório, essas questões foram todas resolvidas.
O relatório de auditoria da OtterSec identificou 1 problema de alto risco, 1 problema de risco moderado e 7 riscos informativos. Os problemas de alto e moderado risco foram resolvidos, dos riscos informativos, 2 foram resolvidos, 2 tiveram patches de correção submetidos e 3 permanecem não resolvidos. Os problemas não resolvidos estão relacionados à consistência do código, à verificação do estado de pausa e à conversão de tipos de dados.
O relatório de auditoria da Zellic identificou 3 riscos informativos, principalmente relacionados à autorização de funções, redundância de código e escolha de tipos de dados, com um risco geral considerado baixo.
É importante notar que as três empresas de auditoria, MoveBit, OtterSec e Zellic, possuem vantagens profissionais na auditoria de código na linguagem Move, o que é especialmente importante para a auditoria de segurança de projetos que não são baseados em EVM.
Ao comparar as medidas de segurança de alguns projetos DEX emergentes, podemos identificar uma tendência: a auditoria múltipla combinada com programas de recompensas por vulnerabilidades está se tornando uma prática comum. Por exemplo, um projeto DEX contratou 5 empresas para auditoria de código e lançou um programa de recompensas por vulnerabilidades de até 5 milhões de dólares. Outro projeto foi auditado por 3 empresas renomadas, enquanto estabeleceu um programa de recompensas por vulnerabilidades de 1,11 milhão de dólares.
Esses casos mostram que até projetos auditados por várias instituições, como a Cetus, podem ser alvo de ataques. Portanto, adotar auditorias de múltiplas partes, complementadas por programas de recompensas por vulnerabilidades ou competições de auditoria, pode garantir uma segurança relativamente melhor para os projetos. No entanto, para protocolos DeFi emergentes, pode haver a escolha de lançar mesmo quando os problemas identificados durante o processo de auditoria ainda não foram totalmente resolvidos, por vários motivos. É por isso que os investidores precisam prestar atenção especial à situação da auditoria de código de novos projetos.
De um modo geral, a auditoria de código é uma importante garantia de segurança para projetos, mas não é infalível. A equipe do projeto deve manter um foco contínuo nas questões de segurança, e os investidores também devem estar atentos às medidas de segurança do projeto. No campo das criptomoedas em rápida evolução, a segurança é sempre um tópico que merece atenção.