Cetus遭受攻击事件引发的安全审计思考

近期，SUI生态中的去中心化交易所Cetus遭受攻击，引发了业界对代码安全审计重要性的再次关注。虽然目前攻击的具体原因和影响尚不明确，但我们可以从Cetus的代码安全审计历史入手，探讨一下这个问题。

Cetus曾接受过多家机构的代码审计。某知名审计机构对Cetus的审计结果显示，只发现2个轻度风险和9个信息性风险，大部分已得到解决。该机构给出的综合评分为83.06，代码审计评分高达96分。

然而，Cetus在其官方Github上公布的5份审计报告中并未包含上述机构的审计结果。这5份报告来自MoveBit、OtterSec和Zellic，分别针对Cetus在Aptos和SUI链上的代码进行了审计。由于此次攻击发生在SUI链上，我们重点关注SUI链相关的审计报告。

MoveBit的审计报告指出了18个风险问题，包括1个致命风险、2个主要风险、3个中度风险和12个轻度风险。据报告显示，这些问题均已得到解决。

OtterSec的审计报告发现了1个高风险问题、1个中度风险问题和7个信息性风险。高风险和中度风险问题已解决，信息性风险中有2个已解决，2个提交了修复补丁，还有3个未解决。这些未解决的问题涉及代码一致性、暂停状态验证和数据类型转换等方面。

Zellic的审计报告发现了3个信息性风险，主要涉及函数授权、代码冗余和数据类型选择等方面，总体风险较低。

值得注意的是，MoveBit、OtterSec和Zellic这三家审计机构在Move语言代码审计方面具有专业优势，这对于非EVM链项目的安全审计尤为重要。

通过对比一些新兴DEX项目的安全措施，我们可以发现一个趋势：多重审计配合漏洞赏金计划正成为主流做法。例如，某DEX项目就聘请了5家公司进行代码审计，并推出了高达500万美元的单项漏洞赏金计划。另一个项目则由3家知名公司进行审计，同时设立了111万美元的漏洞赏金计划。

这些案例表明，即使像Cetus这样经过多家机构审计的项目也可能遭受攻击。因此，采用多主体审计，并辅以漏洞赏金计划或审计竞赛，能够相对更好地保障项目安全。然而，对于新兴的DeFi协议来说，即使在审计过程中发现的问题尚未全部修复，也可能因各种原因选择上线。这也是为什么投资者需要特别关注新项目的代码审计情况。

总的来说，代码审计是项目安全的重要保障，但并非万无一失。项目方需要持续关注安全问题，投资者也应该对项目的安全措施保持警惕。在快速发展的加密货币领域，安全永远是一个值得关注的话题。