O ataque ao Cetus provoca uma reflexão sobre a auditoria de segurança do código
Recentemente, a exchange descentralizada Cetus, dentro do ecossistema Sui, foi atacada, gerando um intenso debate na indústria sobre a eficácia da auditoria de segurança do código. Atualmente, a causa e o impacto do ataque ainda não estão claros, mas podemos primeiro revisar a situação da auditoria de segurança do código da Cetus.
Uma conhecida empresa de auditoria de segurança revelou que a auditoria do Cetus identificou apenas 2 riscos leves que já foram resolvidos, e 6 dos 9 riscos informativos também foram resolvidos. A pontuação geral atribuída pela instituição foi de 83,06 pontos, enquanto a pontuação da auditoria de código alcançou 96 pontos.
No entanto, os 5 relatórios de auditoria de código divulgados oficialmente pela Cetus não incluem os resultados de auditoria das instituições mencionadas. Estes 5 relatórios são provenientes de três instituições especializadas: MoveBit, OtterSec e Zellic, e abrangem o código da Cetus nas cadeias Aptos e Sui. Dado que este ataque ocorreu na cadeia Sui, focaremos nos relatórios de auditoria relacionados à cadeia Sui.
O relatório de auditoria da MoveBit foi enviado ao Github em 28 de abril de 2023. O relatório identificou um total de 18 problemas de risco, incluindo 1 risco crítico, 2 riscos principais, 3 riscos moderados e 12 riscos leves. É importante notar que todos esses problemas foram resolvidos.
O relatório de auditoria da OtterSec foi carregado em 12 de maio de 2023. O relatório apontou 1 problema de alto risco, 1 problema de risco moderado e 7 riscos informativos. Dentre eles, os problemas de alto e moderado risco foram resolvidos, e 2 dos riscos informativos foram resolvidos, 2 receberam patches de correção, e os 3 restantes envolvem a consistência do código da versão Sui com a versão Aptos, validação do estado de pausa e conversão de tipos de dados.
O relatório de auditoria da Zellic foi carregado em abril de 2023. O relatório identificou 3 riscos informativos, que ainda não foram corrigidos. Esses riscos estão principalmente relacionados à autorização de funções, redundância de código e seleção de tipos de dados para exibição de NFT, com um nível de risco geral considerado baixo.
É importante mencionar que MoveBit, OtterSec e Zellic são instituições especializadas na auditoria de código da linguagem Move, o que é especialmente relevante no atual mercado, dominado por auditorias de EVM.
Ao rever as medidas de segurança de alguns novos projetos DEX emergentes, podemos identificar algumas tendências:
O GMX V2 foi submetido a auditoria de código por 5 empresas e lançou um programa de recompensa por bugs de até 5 milhões de dólares.
DeGate contratou 35 empresas para auditoria, com recompensas por vulnerabilidades de até 1.11 milhões de dólares.
DYDX V4 foi auditado pela Informal Systems e também estabeleceu um programa de recompensas por vulnerabilidades no valor de 5 milhões de dólares.
A Hyperliquid oferece uma recompensa por vulnerabilidades de 1 milhão de dólares com base em auditorias internas.
A UniversalX escolheu duas instituições conhecidas para realizar a auditoria.
Embora a GMGN não tenha publicado um relatório de auditoria, estabeleceu um programa de recompensas por vulnerabilidades com um limite máximo de 10.000 dólares por caso.
Em suma, mesmo projetos auditados por várias instituições, como o Cetus, podem ser alvo de ataques. Auditorias em várias frentes, juntamente com programas de recompensas por vulnerabilidades ou competições de auditoria, podem aumentar a segurança do projeto até certo ponto. No entanto, para protocolos DeFi emergentes, problemas de auditoria não resolvidos ainda merecem atenção. Isso também explica por que especialistas da indústria dão especial importância à auditoria de código de novos protocolos.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
17 gostos
Recompensa
17
8
Republicar
Partilhar
Comentar
0/400
SchrodingersFOMO
· 7h atrás
A auditoria é tão alta que não se preocupa mesmo quando é atacada.
Ver originalResponder0
OffchainWinner
· 9h atrás
Seis vulnerabilidades foram corrigidas e ainda assim foi atacado?
Ver originalResponder0
MetaverseLandlord
· 9h atrás
Para que serve a auditoria de código...
Ver originalResponder0
ZeroRushCaptain
· 9h atrás
Auditoria é apenas pagar imposto de inteligência.
Ver originalResponder0
YieldHunter
· 9h atrás
tecnicamente falando... as pontuações de auditoria não significam nada se você não conseguir garantir o rendimento smh
Ver originalResponder0
DeFi_Dad_Jokes
· 9h atrás
Quanto mais auditorias, mais vulnerabilidades.
Ver originalResponder0
LiquidationKing
· 9h atrás
96 pontos ainda não são suficientes para ser explorado
Cetus atacado Múltiplas auditorias de código não garantem a segurança do projeto
O ataque ao Cetus provoca uma reflexão sobre a auditoria de segurança do código
Recentemente, a exchange descentralizada Cetus, dentro do ecossistema Sui, foi atacada, gerando um intenso debate na indústria sobre a eficácia da auditoria de segurança do código. Atualmente, a causa e o impacto do ataque ainda não estão claros, mas podemos primeiro revisar a situação da auditoria de segurança do código da Cetus.
Uma conhecida empresa de auditoria de segurança revelou que a auditoria do Cetus identificou apenas 2 riscos leves que já foram resolvidos, e 6 dos 9 riscos informativos também foram resolvidos. A pontuação geral atribuída pela instituição foi de 83,06 pontos, enquanto a pontuação da auditoria de código alcançou 96 pontos.
No entanto, os 5 relatórios de auditoria de código divulgados oficialmente pela Cetus não incluem os resultados de auditoria das instituições mencionadas. Estes 5 relatórios são provenientes de três instituições especializadas: MoveBit, OtterSec e Zellic, e abrangem o código da Cetus nas cadeias Aptos e Sui. Dado que este ataque ocorreu na cadeia Sui, focaremos nos relatórios de auditoria relacionados à cadeia Sui.
O relatório de auditoria da MoveBit foi enviado ao Github em 28 de abril de 2023. O relatório identificou um total de 18 problemas de risco, incluindo 1 risco crítico, 2 riscos principais, 3 riscos moderados e 12 riscos leves. É importante notar que todos esses problemas foram resolvidos.
O relatório de auditoria da OtterSec foi carregado em 12 de maio de 2023. O relatório apontou 1 problema de alto risco, 1 problema de risco moderado e 7 riscos informativos. Dentre eles, os problemas de alto e moderado risco foram resolvidos, e 2 dos riscos informativos foram resolvidos, 2 receberam patches de correção, e os 3 restantes envolvem a consistência do código da versão Sui com a versão Aptos, validação do estado de pausa e conversão de tipos de dados.
O relatório de auditoria da Zellic foi carregado em abril de 2023. O relatório identificou 3 riscos informativos, que ainda não foram corrigidos. Esses riscos estão principalmente relacionados à autorização de funções, redundância de código e seleção de tipos de dados para exibição de NFT, com um nível de risco geral considerado baixo.
É importante mencionar que MoveBit, OtterSec e Zellic são instituições especializadas na auditoria de código da linguagem Move, o que é especialmente relevante no atual mercado, dominado por auditorias de EVM.
Ao rever as medidas de segurança de alguns novos projetos DEX emergentes, podemos identificar algumas tendências:
O GMX V2 foi submetido a auditoria de código por 5 empresas e lançou um programa de recompensa por bugs de até 5 milhões de dólares.
DeGate contratou 35 empresas para auditoria, com recompensas por vulnerabilidades de até 1.11 milhões de dólares.
DYDX V4 foi auditado pela Informal Systems e também estabeleceu um programa de recompensas por vulnerabilidades no valor de 5 milhões de dólares.
A Hyperliquid oferece uma recompensa por vulnerabilidades de 1 milhão de dólares com base em auditorias internas.
A UniversalX escolheu duas instituições conhecidas para realizar a auditoria.
Embora a GMGN não tenha publicado um relatório de auditoria, estabeleceu um programa de recompensas por vulnerabilidades com um limite máximo de 10.000 dólares por caso.
Em suma, mesmo projetos auditados por várias instituições, como o Cetus, podem ser alvo de ataques. Auditorias em várias frentes, juntamente com programas de recompensas por vulnerabilidades ou competições de auditoria, podem aumentar a segurança do projeto até certo ponto. No entanto, para protocolos DeFi emergentes, problemas de auditoria não resolvidos ainda merecem atenção. Isso também explica por que especialistas da indústria dão especial importância à auditoria de código de novos protocolos.