L'attaque de Cetus soulève une réflexion sur l'audit de sécurité du code
Récemment, l'échange décentralisé Cetus dans l'écosystème Sui a été attaqué, suscitant un vif débat dans l'industrie sur l'efficacité des audits de sécurité du code. Les raisons et l'impact de l'attaque ne sont pas encore clairs, mais nous pouvons d'abord passer en revue la situation des audits de sécurité du code de Cetus.
Un organisme de vérification de sécurité renommé a révélé que l'audit de Cetus n'a identifié que 2 risques faibles qui ont été résolus, et parmi 9 risques d'information, 6 ont été résolus. L'organisme a attribué un score global de 83,06 points, avec un score d'audit de code atteignant 96 points.
Cependant, les cinq rapports d'audit de code publiés par Cetus ne contiennent pas les résultats d'audit des institutions mentionnées ci-dessus. Ces cinq rapports proviennent respectivement des trois agences spécialisées MoveBit, OtterSec et Zellic, et couvrent le code de Cetus sur les chaînes Aptos et Sui. Étant donné que cette attaque s'est produite sur la chaîne Sui, nous nous concentrons sur les rapports d'audit liés à la chaîne Sui.
Le rapport d'audit de MoveBit a été téléchargé sur Github le 28 avril 2023. Ce rapport a identifié 18 problèmes de risque, dont 1 risque fatal, 2 risques majeurs, 3 risques modérés et 12 risques mineurs. Il est à noter que tous ces problèmes ont été résolus.
Le rapport d'audit d'OtterSec a été téléchargé le 12 mai 2023. Le rapport signale 1 problème à haut risque, 1 problème à risque modéré et 7 risques d'information. Parmi ceux-ci, les problèmes à haut risque et à risque modéré ont été résolus, 2 des risques d'information ont été réglés, 2 ont soumis des correctifs, et les 3 restants concernent la cohérence du code entre les versions Sui et Aptos, la validation de l'état de suspension et la conversion des types de données.
Le rapport d'audit de Zellic a été téléchargé en avril 2023. Le rapport a identifié 3 risques d'information, qui n'ont pas encore été corrigés. Ces risques concernent principalement l'autorisation des fonctions, la redondance du code et le choix des types de données pour l'affichage des NFT, le niveau global de risque étant relativement faible.
Il est à noter que MoveBit, OtterSec et Zellic sont des institutions spécialisées dans l'audit de code en langage Move, ce qui est particulièrement important dans un marché actuellement dominé par les audits EVM.
En examinant les mesures de sécurité de certains nouveaux projets DEX émergents récemment, nous pouvons observer certaines tendances :
GMX V2 a été audité par 5 entreprises et a lancé un programme de récompenses pour les bugs allant jusqu'à 5 millions de dollars.
DeGate a engagé 35 entreprises pour effectuer un audit, avec une récompense pour les vulnérabilités pouvant atteindre 1,11 million de dollars.
DYDX V4 a été audité par Informal Systems et a également mis en place un programme de récompense de 5 millions de dollars pour les bugs.
Hyperliquid a offert une prime de 1 million de dollars pour les vulnérabilités, sur la base d'un audit interne.
UniversalX a choisi deux institutions renommées pour effectuer l'audit.
Bien que GMGN n'ait pas publié de rapport d'audit, il a mis en place un programme de récompense pour les vulnérabilités allant jusqu'à 10 000 $.
En résumé, même des projets comme Cetus, qui ont été audités par plusieurs institutions, peuvent subir des attaques. Une combinaison d'audits multiples avec un programme de primes de bugs ou des concours d'audit peut en effet améliorer la sécurité du projet. Cependant, pour les protocoles DeFi émergents, les problèmes d'audit non résolus restent préoccupants. Cela explique également pourquoi les experts de l'industrie attachent une importance particulière à l'audit du code des nouveaux protocoles.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
17 J'aime
Récompense
17
8
Reposter
Partager
Commentaire
0/400
SchrodingersFOMO
· Il y a 7h
L'audit est si élevé que même en cas d'attaque, je ne suis pas inquiet.
Voir l'originalRépondre0
OffchainWinner
· Il y a 9h
Six vulnérabilités corrigées et pourtant attaquées ?
Voir l'originalRépondre0
MetaverseLandlord
· Il y a 9h
À quoi sert l'audit de code...
Voir l'originalRépondre0
ZeroRushCaptain
· Il y a 9h
L'audit, c'est payer une taxe d'intelligence.
Voir l'originalRépondre0
YieldHunter
· Il y a 9h
techniquement parlant... les scores d'audit ne signifient rien si vous ne pouvez pas sécuriser le rendement smh
Voir l'originalRépondre0
DeFi_Dad_Jokes
· Il y a 9h
Plus il y a d'audits, plus il y a de vulnérabilités.
Voir l'originalRépondre0
LiquidationKing
· Il y a 9h
96 points ne sont même pas un exemple d'être arraché.
Cetus attaqué, plusieurs audits de code ne garantissent pas la sécurité du projet.
L'attaque de Cetus soulève une réflexion sur l'audit de sécurité du code
Récemment, l'échange décentralisé Cetus dans l'écosystème Sui a été attaqué, suscitant un vif débat dans l'industrie sur l'efficacité des audits de sécurité du code. Les raisons et l'impact de l'attaque ne sont pas encore clairs, mais nous pouvons d'abord passer en revue la situation des audits de sécurité du code de Cetus.
Un organisme de vérification de sécurité renommé a révélé que l'audit de Cetus n'a identifié que 2 risques faibles qui ont été résolus, et parmi 9 risques d'information, 6 ont été résolus. L'organisme a attribué un score global de 83,06 points, avec un score d'audit de code atteignant 96 points.
Cependant, les cinq rapports d'audit de code publiés par Cetus ne contiennent pas les résultats d'audit des institutions mentionnées ci-dessus. Ces cinq rapports proviennent respectivement des trois agences spécialisées MoveBit, OtterSec et Zellic, et couvrent le code de Cetus sur les chaînes Aptos et Sui. Étant donné que cette attaque s'est produite sur la chaîne Sui, nous nous concentrons sur les rapports d'audit liés à la chaîne Sui.
Le rapport d'audit de MoveBit a été téléchargé sur Github le 28 avril 2023. Ce rapport a identifié 18 problèmes de risque, dont 1 risque fatal, 2 risques majeurs, 3 risques modérés et 12 risques mineurs. Il est à noter que tous ces problèmes ont été résolus.
Le rapport d'audit d'OtterSec a été téléchargé le 12 mai 2023. Le rapport signale 1 problème à haut risque, 1 problème à risque modéré et 7 risques d'information. Parmi ceux-ci, les problèmes à haut risque et à risque modéré ont été résolus, 2 des risques d'information ont été réglés, 2 ont soumis des correctifs, et les 3 restants concernent la cohérence du code entre les versions Sui et Aptos, la validation de l'état de suspension et la conversion des types de données.
Le rapport d'audit de Zellic a été téléchargé en avril 2023. Le rapport a identifié 3 risques d'information, qui n'ont pas encore été corrigés. Ces risques concernent principalement l'autorisation des fonctions, la redondance du code et le choix des types de données pour l'affichage des NFT, le niveau global de risque étant relativement faible.
Il est à noter que MoveBit, OtterSec et Zellic sont des institutions spécialisées dans l'audit de code en langage Move, ce qui est particulièrement important dans un marché actuellement dominé par les audits EVM.
En examinant les mesures de sécurité de certains nouveaux projets DEX émergents récemment, nous pouvons observer certaines tendances :
GMX V2 a été audité par 5 entreprises et a lancé un programme de récompenses pour les bugs allant jusqu'à 5 millions de dollars.
DeGate a engagé 35 entreprises pour effectuer un audit, avec une récompense pour les vulnérabilités pouvant atteindre 1,11 million de dollars.
DYDX V4 a été audité par Informal Systems et a également mis en place un programme de récompense de 5 millions de dollars pour les bugs.
Hyperliquid a offert une prime de 1 million de dollars pour les vulnérabilités, sur la base d'un audit interne.
UniversalX a choisi deux institutions renommées pour effectuer l'audit.
Bien que GMGN n'ait pas publié de rapport d'audit, il a mis en place un programme de récompense pour les vulnérabilités allant jusqu'à 10 000 $.
En résumé, même des projets comme Cetus, qui ont été audités par plusieurs institutions, peuvent subir des attaques. Une combinaison d'audits multiples avec un programme de primes de bugs ou des concours d'audit peut en effet améliorer la sécurité du projet. Cependant, pour les protocoles DeFi émergents, les problèmes d'audit non résolus restent préoccupants. Cela explique également pourquoi les experts de l'industrie attachent une importance particulière à l'audit du code des nouveaux protocoles.