Suy nghĩ về kiểm toán an ninh do sự cố tấn công Cetus gây ra
Gần đây, sàn giao dịch phi tập trung Cetus trong hệ sinh thái SUI đã bị tấn công, gây ra sự quan tâm trở lại đối với tầm quan trọng của việc kiểm tra an ninh mã nguồn trong ngành. Mặc dù hiện tại nguyên nhân và ảnh hưởng cụ thể của cuộc tấn công vẫn chưa rõ ràng, nhưng chúng ta có thể bắt đầu bằng cách xem xét lịch sử kiểm tra an ninh mã nguồn của Cetus để thảo luận về vấn đề này.
Cetus đã từng được nhiều tổ chức kiểm toán mã. Một tổ chức kiểm toán nổi tiếng đã công bố kết quả kiểm toán của Cetus cho thấy chỉ phát hiện 2 rủi ro nhẹ và 9 rủi ro thông tin, phần lớn đã được giải quyết. Tổ chức này đã đưa ra điểm tổng hợp là 83,06, trong đó điểm kiểm toán mã đạt tới 96.
Tuy nhiên, 5 báo cáo kiểm toán được công bố trên Github chính thức của Cetus không bao gồm kết quả kiểm toán của các tổ chức trên. 5 báo cáo này đến từ MoveBit, OtterSec và Zellic, lần lượt kiểm toán mã của Cetus trên các chuỗi Aptos và SUI. Do cuộc tấn công này xảy ra trên chuỗi SUI, chúng tôi sẽ tập trung vào các báo cáo kiểm toán liên quan đến chuỗi SUI.
Báo cáo kiểm toán của MoveBit chỉ ra 18 vấn đề rủi ro, bao gồm 1 rủi ro nghiêm trọng, 2 rủi ro chính, 3 rủi ro vừa và 12 rủi ro nhẹ. Theo báo cáo, tất cả những vấn đề này đã được giải quyết.
Báo cáo kiểm toán của OtterSec đã phát hiện 1 vấn đề rủi ro cao, 1 vấn đề rủi ro trung bình và 7 rủi ro thông tin. Các vấn đề rủi ro cao và trung bình đã được giải quyết, trong số các rủi ro thông tin có 2 vấn đề đã được giải quyết, 2 vấn đề đã được gửi bản vá sửa lỗi, còn 3 vấn đề chưa được giải quyết. Các vấn đề chưa được giải quyết liên quan đến tính nhất quán của mã, xác minh trạng thái dừng và chuyển đổi kiểu dữ liệu.
Báo cáo kiểm toán của Zellic phát hiện 3 rủi ro thông tin, chủ yếu liên quan đến quyền hạn của hàm, sự dư thừa mã và lựa chọn kiểu dữ liệu, tổng thể rủi ro khá thấp.
Cần lưu ý rằng ba cơ quan kiểm toán MoveBit, OtterSec và Zellic có lợi thế chuyên môn trong việc kiểm toán mã Move, điều này đặc biệt quan trọng đối với việc kiểm toán an toàn của các dự án không phải EVM.
Thông qua việc so sánh các biện pháp an ninh của một số dự án DEX mới nổi, chúng ta có thể nhận thấy một xu hướng: việc kết hợp kiểm toán đa tầng với chương trình thưởng cho lỗ hổng đang trở thành thực tiễn phổ biến. Ví dụ, một dự án DEX đã thuê 5 công ty để kiểm toán mã và tung ra một chương trình thưởng lên tới 5 triệu đô la cho từng lỗ hổng. Một dự án khác đã được 3 công ty nổi tiếng kiểm toán, đồng thời thiết lập một chương trình thưởng cho lỗ hổng với số tiền 1,11 triệu đô la.
Những trường hợp này cho thấy, ngay cả những dự án như Cetus đã được nhiều tổ chức kiểm toán cũng có thể bị tấn công. Do đó, việc áp dụng kiểm toán đa chủ thể, kết hợp với chương trình thưởng lỗ hổng hoặc cuộc thi kiểm toán, có thể bảo vệ an toàn cho dự án tốt hơn. Tuy nhiên, đối với các giao thức DeFi mới nổi, ngay cả khi các vấn đề được phát hiện trong quá trình kiểm toán chưa được khắc phục hoàn toàn, họ vẫn có thể chọn ra mắt vì nhiều lý do khác nhau. Đây cũng là lý do tại sao các nhà đầu tư cần đặc biệt chú ý đến tình hình kiểm toán mã của các dự án mới.
Tổng thể mà nói, kiểm toán mã là một đảm bảo quan trọng cho sự an toàn của dự án, nhưng không phải là không có rủi ro. Các bên dự án cần tiếp tục chú ý đến các vấn đề an toàn, và các nhà đầu tư cũng nên giữ sự cảnh giác đối với các biện pháp an toàn của dự án. Trong lĩnh vực tiền điện tử phát triển nhanh chóng, an toàn luôn là một chủ đề đáng được quan tâm.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
22 thích
Phần thưởng
22
8
Đăng lại
Chia sẻ
Bình luận
0/400
GasWastingMaximalist
· 08-08 16:19
Kiểm toán mà điểm cao như vậy còn có lỗ hổng? Chó cũng không tin.
Xem bản gốcTrả lời0
CryptoMotivator
· 08-08 05:49
Báo cáo kiểm toán có thể có ích!
Xem bản gốcTrả lời0
Rekt_Recovery
· 08-06 07:48
ngmi fam... nhiều cuộc kiểm tra vẫn bị rekt
Xem bản gốcTrả lời0
BTCBeliefStation
· 08-06 07:46
Xem xét một cách vô nghĩa?
Xem bản gốcTrả lời0
ForkMonger
· 08-06 07:46
một ngày nữa, một vụ hack nữa... điểm kiểm toán không có nghĩa gì frfr
Xem bản gốcTrả lời0
AirdropHunter
· 08-06 07:34
Xem xét nhiều như vậy, cuối cùng vẫn xảy ra sự cố.
Xem bản gốcTrả lời0
MerkleDreamer
· 08-06 07:25
Kết quả kiểm toán 96 điểm, cười chết💀
Xem bản gốcTrả lời0
NftDataDetective
· 08-06 07:19
các cuộc kiểm toán bây giờ chẳng có ý nghĩa gì cả fr fr
Cetus bị tấn công Nhiều kiểm toán và săn lỗi nhận tiền thưởng trở thành xu hướng mới về an toàn DEX
Suy nghĩ về kiểm toán an ninh do sự cố tấn công Cetus gây ra
Gần đây, sàn giao dịch phi tập trung Cetus trong hệ sinh thái SUI đã bị tấn công, gây ra sự quan tâm trở lại đối với tầm quan trọng của việc kiểm tra an ninh mã nguồn trong ngành. Mặc dù hiện tại nguyên nhân và ảnh hưởng cụ thể của cuộc tấn công vẫn chưa rõ ràng, nhưng chúng ta có thể bắt đầu bằng cách xem xét lịch sử kiểm tra an ninh mã nguồn của Cetus để thảo luận về vấn đề này.
Cetus đã từng được nhiều tổ chức kiểm toán mã. Một tổ chức kiểm toán nổi tiếng đã công bố kết quả kiểm toán của Cetus cho thấy chỉ phát hiện 2 rủi ro nhẹ và 9 rủi ro thông tin, phần lớn đã được giải quyết. Tổ chức này đã đưa ra điểm tổng hợp là 83,06, trong đó điểm kiểm toán mã đạt tới 96.
Tuy nhiên, 5 báo cáo kiểm toán được công bố trên Github chính thức của Cetus không bao gồm kết quả kiểm toán của các tổ chức trên. 5 báo cáo này đến từ MoveBit, OtterSec và Zellic, lần lượt kiểm toán mã của Cetus trên các chuỗi Aptos và SUI. Do cuộc tấn công này xảy ra trên chuỗi SUI, chúng tôi sẽ tập trung vào các báo cáo kiểm toán liên quan đến chuỗi SUI.
Báo cáo kiểm toán của MoveBit chỉ ra 18 vấn đề rủi ro, bao gồm 1 rủi ro nghiêm trọng, 2 rủi ro chính, 3 rủi ro vừa và 12 rủi ro nhẹ. Theo báo cáo, tất cả những vấn đề này đã được giải quyết.
Báo cáo kiểm toán của OtterSec đã phát hiện 1 vấn đề rủi ro cao, 1 vấn đề rủi ro trung bình và 7 rủi ro thông tin. Các vấn đề rủi ro cao và trung bình đã được giải quyết, trong số các rủi ro thông tin có 2 vấn đề đã được giải quyết, 2 vấn đề đã được gửi bản vá sửa lỗi, còn 3 vấn đề chưa được giải quyết. Các vấn đề chưa được giải quyết liên quan đến tính nhất quán của mã, xác minh trạng thái dừng và chuyển đổi kiểu dữ liệu.
Báo cáo kiểm toán của Zellic phát hiện 3 rủi ro thông tin, chủ yếu liên quan đến quyền hạn của hàm, sự dư thừa mã và lựa chọn kiểu dữ liệu, tổng thể rủi ro khá thấp.
Cần lưu ý rằng ba cơ quan kiểm toán MoveBit, OtterSec và Zellic có lợi thế chuyên môn trong việc kiểm toán mã Move, điều này đặc biệt quan trọng đối với việc kiểm toán an toàn của các dự án không phải EVM.
Thông qua việc so sánh các biện pháp an ninh của một số dự án DEX mới nổi, chúng ta có thể nhận thấy một xu hướng: việc kết hợp kiểm toán đa tầng với chương trình thưởng cho lỗ hổng đang trở thành thực tiễn phổ biến. Ví dụ, một dự án DEX đã thuê 5 công ty để kiểm toán mã và tung ra một chương trình thưởng lên tới 5 triệu đô la cho từng lỗ hổng. Một dự án khác đã được 3 công ty nổi tiếng kiểm toán, đồng thời thiết lập một chương trình thưởng cho lỗ hổng với số tiền 1,11 triệu đô la.
Những trường hợp này cho thấy, ngay cả những dự án như Cetus đã được nhiều tổ chức kiểm toán cũng có thể bị tấn công. Do đó, việc áp dụng kiểm toán đa chủ thể, kết hợp với chương trình thưởng lỗ hổng hoặc cuộc thi kiểm toán, có thể bảo vệ an toàn cho dự án tốt hơn. Tuy nhiên, đối với các giao thức DeFi mới nổi, ngay cả khi các vấn đề được phát hiện trong quá trình kiểm toán chưa được khắc phục hoàn toàn, họ vẫn có thể chọn ra mắt vì nhiều lý do khác nhau. Đây cũng là lý do tại sao các nhà đầu tư cần đặc biệt chú ý đến tình hình kiểm toán mã của các dự án mới.
Tổng thể mà nói, kiểm toán mã là một đảm bảo quan trọng cho sự an toàn của dự án, nhưng không phải là không có rủi ro. Các bên dự án cần tiếp tục chú ý đến các vấn đề an toàn, và các nhà đầu tư cũng nên giữ sự cảnh giác đối với các biện pháp an toàn của dự án. Trong lĩnh vực tiền điện tử phát triển nhanh chóng, an toàn luôn là một chủ đề đáng được quan tâm.