Cetus'a yönelik saldırı olayı ile ilgili güvenlik denetimi düşünceleri
Son günlerde, SUI ekosistemindeki merkeziyetsiz borsa Cetus saldırıya uğradı ve bu durum sektörde kod güvenliği denetimlerinin önemine yeniden dikkat çekti. Şu anda saldırının kesin nedeni ve etkileri belirsiz olsa da, Cetus'un kod güvenliği denetim geçmişine bakarak bu konuyu ele alabiliriz.
Cetus, birden fazla kuruluşun kod denetimini kabul etti. Tanınmış bir denetim kuruluşunun Cetus üzerindeki denetim sonuçları, yalnızca 2 hafif risk ve 9 bilgilendirici risk tespit ettiğini göstermektedir, bunların çoğu çözülmüştür. Bu kuruluşun verdiği genel puan 83.06, kod denetim puanı ise 96 puandır.
Ancak, Cetus'un resmi Github'ında yayımlanan 5 denetim raporu, yukarıda belirtilen kuruluşların denetim sonuçlarını içermemektedir. Bu 5 rapor, Cetus'un Aptos ve SUI zincirlerindeki kodlarını denetleyen MoveBit, OtterSec ve Zellic'ten gelmektedir. Bu saldırının SUI zincirinde gerçekleşmesi nedeniyle, SUI zinciriyle ilgili denetim raporlarına odaklanıyoruz.
MoveBit'in denetim raporu, 1 kritik risk, 2 ana risk, 3 orta risk ve 12 hafif risk dahil olmak üzere 18 risk sorununu belirtti. Rapor, bu sorunların tümünün çözüldüğünü göstermektedir.
OtterSec'in denetim raporu 1 yüksek riskli sorun, 1 orta riskli sorun ve 7 bilgilendirme riski buldu. Yüksek riskli ve orta riskli sorunlar çözüldü, bilgilendirme risklerinden 2'si çözüldü, 2'si düzeltme yaması gönderildi, 3'ü ise çözülmedi. Çözülmemiş sorunlar kod tutarlılığı, duraklama durumu doğrulaması ve veri türü dönüştürmesi gibi konuları kapsamaktadır.
Zellic'in denetim raporu, fonksiyon yetkilendirmesi, kod fazlalığı ve veri tipi seçimi gibi konuları içeren 3 bilgi riski tespit etti, genel risk seviyesi düşük.
Önemli bir nokta, MoveBit, OtterSec ve Zellic'in Move dili kod denetimi konusunda uzmanlık avantajına sahip olduğudur; bu, EVM dışı zincir projeleri için güvenlik denetimi açısından özellikle önemlidir.
Yeni ortaya çıkan DEX projelerinin güvenlik önlemlerini karşılaştırdığımızda, bir eğilim tespit edebiliyoruz: çoklu denetimlerin ve hata ödül programlarının ana akım haline geldiği. Örneğin, bir DEX projesi, kod denetimi için 5 şirketle çalıştı ve 500.000 dolara kadar tek bir hata ödül programı başlattı. Diğer bir proje ise 3 tanınmış şirket tarafından denetlendi ve 1.110.000 dolarlık bir hata ödül programı oluşturdu.
Bu örnekler, Cetus gibi birden fazla kurum tarafından denetlenen projelerin bile saldırıya uğrayabileceğini göstermektedir. Bu nedenle, çoklu taraflı denetimlerin yanı sıra, güvenlik açığı ödül programları veya denetim yarışmaları da projelerin güvenliğini görecek şekilde daha iyi koruyabilir. Ancak, yeni ortaya çıkan DeFi protokolleri için, denetim sürecinde bulunan sorunlar henüz tamamen düzeltilmemiş olsa bile, çeşitli nedenlerden dolayı yayına alınma seçeneği olabilir. Bu da yatırımcıların yeni projelerin kod denetim durumuna özellikle dikkat etmeleri gerektiği anlamına gelmektedir.
Genel olarak, kod denetimi proje güvenliğinin önemli bir güvencesidir, ancak kusursuz değildir. Proje sahiplerinin güvenlik sorunlarına sürekli dikkat etmesi, yatırımcıların da projelerin güvenlik önlemlerine dikkat etmesi gerekir. Hızla gelişen kripto para alanında güvenlik her zaman dikkate değer bir konudur.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
22 Likes
Reward
22
8
Repost
Share
Comment
0/400
GasWastingMaximalist
· 08-08 16:19
Denetim bu kadar yüksek bir puana sahipken hala açıklar mı var? Köpek bile buna inanmaz.
View OriginalReply0
CryptoMotivator
· 08-08 05:49
Denetim raporunun bir faydası yok!
View OriginalReply0
Rekt_Recovery
· 08-06 07:48
ngmi fam... birden fazla denetim hâlâ rekt oldu
View OriginalReply0
BTCBeliefStation
· 08-06 07:46
Boşuna mı yargılandın?
View OriginalReply0
ForkMonger
· 08-06 07:46
bir başka gün, bir başka hack... denetim puanlarının hiçbir anlamı yok frfr
View OriginalReply0
AirdropHunter
· 08-06 07:34
Bu kadar denetime rağmen hala sorunlar çıkıyor.
View OriginalReply0
MerkleDreamer
· 08-06 07:25
96 puanlık denetim sonucu, güldürdü💀
View OriginalReply0
NftDataDetective
· 08-06 07:19
denetimlerin günümüzde hiçbir anlamı yok gerçekten
Cetus saldırıya uğradı, çoklu denetim ve bug ödül'ü DEX güvenliğinde yeni bir trend haline geliyor.
Cetus'a yönelik saldırı olayı ile ilgili güvenlik denetimi düşünceleri
Son günlerde, SUI ekosistemindeki merkeziyetsiz borsa Cetus saldırıya uğradı ve bu durum sektörde kod güvenliği denetimlerinin önemine yeniden dikkat çekti. Şu anda saldırının kesin nedeni ve etkileri belirsiz olsa da, Cetus'un kod güvenliği denetim geçmişine bakarak bu konuyu ele alabiliriz.
Cetus, birden fazla kuruluşun kod denetimini kabul etti. Tanınmış bir denetim kuruluşunun Cetus üzerindeki denetim sonuçları, yalnızca 2 hafif risk ve 9 bilgilendirici risk tespit ettiğini göstermektedir, bunların çoğu çözülmüştür. Bu kuruluşun verdiği genel puan 83.06, kod denetim puanı ise 96 puandır.
Ancak, Cetus'un resmi Github'ında yayımlanan 5 denetim raporu, yukarıda belirtilen kuruluşların denetim sonuçlarını içermemektedir. Bu 5 rapor, Cetus'un Aptos ve SUI zincirlerindeki kodlarını denetleyen MoveBit, OtterSec ve Zellic'ten gelmektedir. Bu saldırının SUI zincirinde gerçekleşmesi nedeniyle, SUI zinciriyle ilgili denetim raporlarına odaklanıyoruz.
MoveBit'in denetim raporu, 1 kritik risk, 2 ana risk, 3 orta risk ve 12 hafif risk dahil olmak üzere 18 risk sorununu belirtti. Rapor, bu sorunların tümünün çözüldüğünü göstermektedir.
OtterSec'in denetim raporu 1 yüksek riskli sorun, 1 orta riskli sorun ve 7 bilgilendirme riski buldu. Yüksek riskli ve orta riskli sorunlar çözüldü, bilgilendirme risklerinden 2'si çözüldü, 2'si düzeltme yaması gönderildi, 3'ü ise çözülmedi. Çözülmemiş sorunlar kod tutarlılığı, duraklama durumu doğrulaması ve veri türü dönüştürmesi gibi konuları kapsamaktadır.
Zellic'in denetim raporu, fonksiyon yetkilendirmesi, kod fazlalığı ve veri tipi seçimi gibi konuları içeren 3 bilgi riski tespit etti, genel risk seviyesi düşük.
Önemli bir nokta, MoveBit, OtterSec ve Zellic'in Move dili kod denetimi konusunda uzmanlık avantajına sahip olduğudur; bu, EVM dışı zincir projeleri için güvenlik denetimi açısından özellikle önemlidir.
Yeni ortaya çıkan DEX projelerinin güvenlik önlemlerini karşılaştırdığımızda, bir eğilim tespit edebiliyoruz: çoklu denetimlerin ve hata ödül programlarının ana akım haline geldiği. Örneğin, bir DEX projesi, kod denetimi için 5 şirketle çalıştı ve 500.000 dolara kadar tek bir hata ödül programı başlattı. Diğer bir proje ise 3 tanınmış şirket tarafından denetlendi ve 1.110.000 dolarlık bir hata ödül programı oluşturdu.
Bu örnekler, Cetus gibi birden fazla kurum tarafından denetlenen projelerin bile saldırıya uğrayabileceğini göstermektedir. Bu nedenle, çoklu taraflı denetimlerin yanı sıra, güvenlik açığı ödül programları veya denetim yarışmaları da projelerin güvenliğini görecek şekilde daha iyi koruyabilir. Ancak, yeni ortaya çıkan DeFi protokolleri için, denetim sürecinde bulunan sorunlar henüz tamamen düzeltilmemiş olsa bile, çeşitli nedenlerden dolayı yayına alınma seçeneği olabilir. Bu da yatırımcıların yeni projelerin kod denetim durumuna özellikle dikkat etmeleri gerektiği anlamına gelmektedir.
Genel olarak, kod denetimi proje güvenliğinin önemli bir güvencesidir, ancak kusursuz değildir. Proje sahiplerinin güvenlik sorunlarına sürekli dikkat etmesi, yatırımcıların da projelerin güvenlik önlemlerine dikkat etmesi gerekir. Hızla gelişen kripto para alanında güvenlik her zaman dikkate değer bir konudur.