Атака на Cetus: Важность и ограничения аудита безопасности кода
Недавно экосистема DEX SUI Cetus подверглась атаке, что вызвало обсуждение о эффективности аудита безопасности кода в отрасли. Несмотря на то, что Cetus уже прошел аудит безопасности у нескольких организаций, он все равно не смог полностью предотвратить эту атаку. Это событие подчеркивает важность аудита безопасности кода, а также выявляет его потенциальные ограничения.
Безопасность аудита Cetus
Cetus опубликовал 5 отчетов по аудиту кода на Github, которые были подготовлены такими профессиональными организациями, как MoveBit, OtterSec и Zellic. Эти отчеты в основном касаются аудита кода Cetus на блокчейне SUI.
Аудиторский отчет MoveBit выявил 18 рисковых проблем, включая 1 смертельный риск, 2 основных риска, 3 умеренных риска и 12 незначительных риска. Согласно отчету, все эти проблемы были устранены.
Аудиторский отчет OtterSec выявил 1 высокорисковую проблему, 1 среднерисковую проблему и 7 информационных рисков. Из них высокорисковая и среднерисковая проблемы были решены, некоторые информационные риски все еще находятся в процессе обработки.
Аудиторский отчет Zellic выявил 3 информационных риска, в основном касающихся вопросов нормативности кода, риск относительно низкий.
Стоит отметить, что эти три аудиторские компании специализируются на аудите кода языка Move, что особенно важно для новых проектов блокчейна, таких как Cetus.
Важность и недостатки аудита кода
Аудит кода безусловно является важной гарантией безопасности проекта. Проекты, которые не прошли аудит, часто имеют более высокий риск. Однако даже проекты, прошедшие аудит в нескольких учреждениях, такие как Cetus, все равно могут подвергнуться атакам. Это говорит о том, что хотя аудит кода необходим, он не является абсолютно надежным.
Некоторые ведущие DeFi проекты приняли более комплексные стратегии безопасности:
GMX V2 прошел кодовый аудит от 5 компаний и запустил программу поощрения за обнаружение уязвимостей с высокой наградой.
DeGate был проверен до 35 компаний, а также была установлена награда за уязвимости в размере миллиона долларов.
DYDX V4 и Hyperliquid также запустили масштабные программы по вознаграждению за уязвимости, чтобы дополнить недостатки обычных аудитов.
Эти примеры показывают, что многоуровневые и многогранные меры безопасности крайне важны для повышения безопасности проекта.
Рекомендации по повышению безопасности
Многосторонний аудит: нанять несколько профессиональных организаций для проведения аудита кода, чтобы получить более полное оценивание безопасности.
Программа вознаграждения за уязвимости: установить постоянную программу вознаграждений за уязвимости, чтобы поощрять белых хакеров выявлять потенциальные риски.
Конкурс аудита: организовать конкурс по аудиту кода, собраться вместе для обсуждения и выявления большего количества потенциальных уязвимостей.
Постоянное обновление: Регулярное проведение аудита кода и оценки безопасности, своевременное исправление вновь обнаруженных проблем.
Обратите внимание на новые технологии: проекты, использующие новые технологические стеки (например, язык Move), требуют особого внимания со стороны специализированных аудиторских организаций в соответствующих областях.
Заключение
Событие атаки на Cetus еще раз напоминает нам о том, что хотя безопасность кода важна, она не может полностью гарантировать абсолютную безопасность проекта. Проектам DeFi необходимо принимать более комплексные и постоянные меры безопасности, включая, но не ограничиваясь многосторонними аудитами, программами вознаграждений за уязвимости и регулярными оценками безопасности. В то же время, инвесторы, участвующие в новых проектах DeFi, также должны полностью понимать меры безопасности проекта и осторожно оценивать потенциальные риски.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Атака на Cetus: обсуждение важности и ограничений аудита кода
Атака на Cetus: Важность и ограничения аудита безопасности кода
Недавно экосистема DEX SUI Cetus подверглась атаке, что вызвало обсуждение о эффективности аудита безопасности кода в отрасли. Несмотря на то, что Cetus уже прошел аудит безопасности у нескольких организаций, он все равно не смог полностью предотвратить эту атаку. Это событие подчеркивает важность аудита безопасности кода, а также выявляет его потенциальные ограничения.
Безопасность аудита Cetus
Cetus опубликовал 5 отчетов по аудиту кода на Github, которые были подготовлены такими профессиональными организациями, как MoveBit, OtterSec и Zellic. Эти отчеты в основном касаются аудита кода Cetus на блокчейне SUI.
Аудиторский отчет MoveBit выявил 18 рисковых проблем, включая 1 смертельный риск, 2 основных риска, 3 умеренных риска и 12 незначительных риска. Согласно отчету, все эти проблемы были устранены.
Аудиторский отчет OtterSec выявил 1 высокорисковую проблему, 1 среднерисковую проблему и 7 информационных рисков. Из них высокорисковая и среднерисковая проблемы были решены, некоторые информационные риски все еще находятся в процессе обработки.
Аудиторский отчет Zellic выявил 3 информационных риска, в основном касающихся вопросов нормативности кода, риск относительно низкий.
Стоит отметить, что эти три аудиторские компании специализируются на аудите кода языка Move, что особенно важно для новых проектов блокчейна, таких как Cetus.
Важность и недостатки аудита кода
Аудит кода безусловно является важной гарантией безопасности проекта. Проекты, которые не прошли аудит, часто имеют более высокий риск. Однако даже проекты, прошедшие аудит в нескольких учреждениях, такие как Cetus, все равно могут подвергнуться атакам. Это говорит о том, что хотя аудит кода необходим, он не является абсолютно надежным.
Некоторые ведущие DeFi проекты приняли более комплексные стратегии безопасности:
Эти примеры показывают, что многоуровневые и многогранные меры безопасности крайне важны для повышения безопасности проекта.
Рекомендации по повышению безопасности
Заключение
Событие атаки на Cetus еще раз напоминает нам о том, что хотя безопасность кода важна, она не может полностью гарантировать абсолютную безопасность проекта. Проектам DeFi необходимо принимать более комплексные и постоянные меры безопасности, включая, но не ограничиваясь многосторонними аудитами, программами вознаграждений за уязвимости и регулярными оценками безопасности. В то же время, инвесторы, участвующие в новых проектах DeFi, также должны полностью понимать меры безопасности проекта и осторожно оценивать потенциальные риски.