Нещодавно децентралізована біржа Cetus в екосистемі SUI зазнала атаки, що викликало нову увагу до важливості аудиту безпеки коду в галузі. Хоча наразі конкретні причини та наслідки атаки неясні, ми можемо розпочати з історії аудиту безпеки коду Cetus, щоб обговорити це питання.
Cetus пройшов аудит коду від кількох установ. Відоме аудиторське агентство виявило під час аудиту Cetus лише 2 незначні ризики та 9 інформаційних ризиків, більшість з яких вже було усунено. Це агентство надало загальний бал 83.06, а оцінка за аудит коду склала 96 балів.
Однак, у 5 звітах про аудит, опублікованих Cetus на його офіційному Github, не було включено результати аудиту вищезазначених установ. Ці 5 звітів були підготовлені MoveBit, OtterSec та Zellic, які провели аудит коду Cetus на блокчейнах Aptos та SUI. Оскільки ця атака сталася на блокчейні SUI, ми зосереджуємо увагу на звітах про аудит, пов'язаних з блокчейном SUI.
Аудиторський звіт MoveBit вказав на 18 ризикових проблем, включаючи 1 критичний ризик, 2 основні ризики, 3 помірні ризики та 12 незначних ризиків. Згідно з звітом, всі ці проблеми були вирішені.
Аудиторський звіт OtterSec виявив 1 високо ризиковану проблему, 1 помірно ризиковану проблему та 7 інформаційних ризиків. Високо ризиковані та помірно ризиковані проблеми були вирішені, з інформаційних ризиків 2 були вирішені, 2 отримали виправлення, а 3 залишаються невирішеними. Ці невирішені проблеми стосуються узгодженості коду, перевірки стану паузи та перетворення типу даних.
Аудиторський звіт Zellic виявив 3 інформаційні ризики, які в основному стосуються авторизації функцій, надмірності коду та вибору типів даних, загальний ризик є низьким.
Варто зазначити, що три аудиторські компанії – MoveBit, OtterSec і Zellic – мають професійні переваги у сфері аудиту коду Move, що є особливо важливим для безпеки аудиту проектів, що не використовують EVM.
Порівнюючи заходи безпеки деяких нових DEX-проектів, ми можемо виявити тенденцію: мульти-аудити в поєднанні з програмами винагород за вразливості стають основною практикою. Наприклад, один DEX-проект найняв 5 компаній для аудиту коду і запровадив програму винагороди за вразливість на суму до 5 мільйонів доларів. Інший проект був проаудований 3 відомими компаніями, одночасно було встановлено програму винагороди за вразливість на суму 1,11 мільйона доларів.
Ці випадки свідчать про те, що навіть такі проекти, як Cetus, які були перевірені кількома установами, можуть зазнати атак. Тому використання багатостороннього аудиту, доповненого програмами винагород за вразливості або конкурсами з аудиту, може відносно краще забезпечити безпеку проекту. Проте для нових DeFi протоколів, навіть якщо проблеми, виявлені під час аудиту, ще не виправлено, можуть бути різні причини для вибору запуску. Ось чому інвестори повинні особливо звертати увагу на ситуацію з аудитом коду нових проектів.
В цілому, аудит коду є важливим забезпеченням безпеки проєкту, але він не є абсолютно надійним. Команда проєкту повинна постійно звертати увагу на питання безпеки, а інвестори також повинні бути насторожі щодо заходів безпеки проєкту. У швидко розвиваючійся сфері криптовалют безпека завжди є темою, що заслуговує на увагу.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
22 лайків
Нагородити
22
8
Репост
Поділіться
Прокоментувати
0/400
GasWastingMaximalist
· 08-08 16:19
Аудит такий високий, а все ще є прогалини? Навіть собака не повірить.
Переглянути оригіналвідповісти на0
CryptoMotivator
· 08-08 05:49
Аудиторський звіт може бути корисним!
Переглянути оригіналвідповісти на0
Rekt_Recovery
· 08-06 07:48
ngmi сім'я... кілька аудиторів все ще отримали rekt
Переглянути оригіналвідповісти на0
BTCBeliefStation
· 08-06 07:46
Переглянули на самоті?
Переглянути оригіналвідповісти на0
ForkMonger
· 08-06 07:46
інший день, інший злом... оцінки аудиту нічого не значать frfr
Cetus зазнав атаки. Багаторівневий аудит та винагорода за помилки стають новою тенденцією безпеки DEX.
Роздуми про безпеку внаслідок атаки на Cetus
Нещодавно децентралізована біржа Cetus в екосистемі SUI зазнала атаки, що викликало нову увагу до важливості аудиту безпеки коду в галузі. Хоча наразі конкретні причини та наслідки атаки неясні, ми можемо розпочати з історії аудиту безпеки коду Cetus, щоб обговорити це питання.
Cetus пройшов аудит коду від кількох установ. Відоме аудиторське агентство виявило під час аудиту Cetus лише 2 незначні ризики та 9 інформаційних ризиків, більшість з яких вже було усунено. Це агентство надало загальний бал 83.06, а оцінка за аудит коду склала 96 балів.
Однак, у 5 звітах про аудит, опублікованих Cetus на його офіційному Github, не було включено результати аудиту вищезазначених установ. Ці 5 звітів були підготовлені MoveBit, OtterSec та Zellic, які провели аудит коду Cetus на блокчейнах Aptos та SUI. Оскільки ця атака сталася на блокчейні SUI, ми зосереджуємо увагу на звітах про аудит, пов'язаних з блокчейном SUI.
Аудиторський звіт MoveBit вказав на 18 ризикових проблем, включаючи 1 критичний ризик, 2 основні ризики, 3 помірні ризики та 12 незначних ризиків. Згідно з звітом, всі ці проблеми були вирішені.
Аудиторський звіт OtterSec виявив 1 високо ризиковану проблему, 1 помірно ризиковану проблему та 7 інформаційних ризиків. Високо ризиковані та помірно ризиковані проблеми були вирішені, з інформаційних ризиків 2 були вирішені, 2 отримали виправлення, а 3 залишаються невирішеними. Ці невирішені проблеми стосуються узгодженості коду, перевірки стану паузи та перетворення типу даних.
Аудиторський звіт Zellic виявив 3 інформаційні ризики, які в основному стосуються авторизації функцій, надмірності коду та вибору типів даних, загальний ризик є низьким.
Варто зазначити, що три аудиторські компанії – MoveBit, OtterSec і Zellic – мають професійні переваги у сфері аудиту коду Move, що є особливо важливим для безпеки аудиту проектів, що не використовують EVM.
Порівнюючи заходи безпеки деяких нових DEX-проектів, ми можемо виявити тенденцію: мульти-аудити в поєднанні з програмами винагород за вразливості стають основною практикою. Наприклад, один DEX-проект найняв 5 компаній для аудиту коду і запровадив програму винагороди за вразливість на суму до 5 мільйонів доларів. Інший проект був проаудований 3 відомими компаніями, одночасно було встановлено програму винагороди за вразливість на суму 1,11 мільйона доларів.
Ці випадки свідчать про те, що навіть такі проекти, як Cetus, які були перевірені кількома установами, можуть зазнати атак. Тому використання багатостороннього аудиту, доповненого програмами винагород за вразливості або конкурсами з аудиту, може відносно краще забезпечити безпеку проекту. Проте для нових DeFi протоколів, навіть якщо проблеми, виявлені під час аудиту, ще не виправлено, можуть бути різні причини для вибору запуску. Ось чому інвестори повинні особливо звертати увагу на ситуацію з аудитом коду нових проектів.
В цілому, аудит коду є важливим забезпеченням безпеки проєкту, але він не є абсолютно надійним. Команда проєкту повинна постійно звертати увагу на питання безпеки, а інвестори також повинні бути насторожі щодо заходів безпеки проєкту. У швидко розвиваючійся сфері криптовалют безпека завжди є темою, що заслуговує на увагу.