Напад на Cetus: важливість та обмеження аудиту безпеки коду
Нещодавно DEX Cetus екосистеми SUI зазнав атаки, що викликало дискусії в галузі щодо ефективності аудитів безпеки коду. Незважаючи на те, що Cetus вже пройшов аудити безпеки від кількох установ, він все ж не зміг повністю запобігти цій атаці. Ця подія підкреслює важливість аудиту безпеки коду, а також виявляє його потенційні обмеження.
Безпека аудиту Cetus
Cetus опублікував 5 звітів про аудит коду на Github, які були підготовлені професійними установами, такими як MoveBit, OtterSec та Zellic. Ці звіти в основному стосуються аудиту коду Cetus на ланцюзі SUI.
Аудиторський звіт MoveBit виявив 18 ризикових проблем, включаючи 1 смертельний ризик, 2 основних ризики, 3 помірних ризики та 12 незначних ризиків. Згідно з доповіддю, всі ці проблеми вже були вирішені.
Аудиторський звіт OtterSec вказує на 1 високий ризик, 1 середній ризик та 7 інформаційних ризиків. Серед них високий і середній ризики були вирішені, а частина інформаційних ризиків все ще обробляється.
Аудиторський звіт Zellic виявив 3 інформаційні ризики, які в основному стосуються питань відповідності коду, ризик є відносно низьким.
Варто зазначити, що ці три аудиторські компанії спеціалізуються на аудиті коду мови Move, що є особливо важливим для нових блокчейн-проектів, таких як Cetus.
Важливість та недоліки аудиту коду
Аудит коду безсумнівно є важливою гарантією безпеки проєкту. Проєкти, які не пройшли аудит, зазвичай мають високі ризики. Проте навіть проєкти, які були перевірені кількома установами, такі як Cetus, все ще можуть зазнати атак. Це показує, що аудит коду, хоча й необхідний, не є безумовно надійним.
Деякі провідні DeFi проекти впровадили більш всебічні стратегії безпеки:
GMX V2 пройшов кодовий аудит від 5 компаній і запровадив програму нагород за вразливості з високими винагородами.
DeGate був перевірений за участю до 35 компаній, а також встановлено багатотисячний приз за вразливості.
DYDX V4 та Hyperliquid також запустили масовану програму винагород за вразливості, щоб доповнити недоліки звичайних аудитів.
Ці випадки демонструють, що багатогранні та багаторівневі заходи безпеки є вирішальними для підвищення безпеки проекту.
Рекомендації щодо підвищення безпеки
Мульти-сторонній аудит: Найняти кілька професійних установ для проведення аудиту коду, щоб отримати більш всебічну оцінку безпеки.
Програма винагороди за вразливості: встановити постійну програму винагороди за вразливості, щоб заохотити білих хакерів виявляти потенційні ризики.
Аудитний конкурс: організувати конкурс з аудиту коду, залучаючи більше людей до обговорення для виявлення потенційних вразливостей.
Увага до нових технологій: проєкти, що використовують нові технологічні стеки (наприклад, мова Move), потребують особливої уваги від відповідних професійних аудиторських організацій.
Висновок
Інцидент з атакою на Cetus ще раз нагадує нам, що хоча безпека коду є важливою, вона не може повністю гарантувати абсолютну безпеку проекту. Проекти DeFi повинні вжити більш комплексних і постійних заходів безпеки, включаючи, але не обмежуючись, багатостороннім аудитом, програмами винагород за вразливості та регулярними оцінками безпеки. Водночас, інвестори, беручи участь у нових проектах DeFi, також повинні повністю усвідомлювати заходи безпеки проекту, обережно оцінюючи потенційні ризики.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Cetus піддався атаці: обговорення важливості та обмежень аудиту коду
Напад на Cetus: важливість та обмеження аудиту безпеки коду
Нещодавно DEX Cetus екосистеми SUI зазнав атаки, що викликало дискусії в галузі щодо ефективності аудитів безпеки коду. Незважаючи на те, що Cetus вже пройшов аудити безпеки від кількох установ, він все ж не зміг повністю запобігти цій атаці. Ця подія підкреслює важливість аудиту безпеки коду, а також виявляє його потенційні обмеження.
Безпека аудиту Cetus
Cetus опублікував 5 звітів про аудит коду на Github, які були підготовлені професійними установами, такими як MoveBit, OtterSec та Zellic. Ці звіти в основному стосуються аудиту коду Cetus на ланцюзі SUI.
Аудиторський звіт MoveBit виявив 18 ризикових проблем, включаючи 1 смертельний ризик, 2 основних ризики, 3 помірних ризики та 12 незначних ризиків. Згідно з доповіддю, всі ці проблеми вже були вирішені.
Аудиторський звіт OtterSec вказує на 1 високий ризик, 1 середній ризик та 7 інформаційних ризиків. Серед них високий і середній ризики були вирішені, а частина інформаційних ризиків все ще обробляється.
Аудиторський звіт Zellic виявив 3 інформаційні ризики, які в основному стосуються питань відповідності коду, ризик є відносно низьким.
Варто зазначити, що ці три аудиторські компанії спеціалізуються на аудиті коду мови Move, що є особливо важливим для нових блокчейн-проектів, таких як Cetus.
Важливість та недоліки аудиту коду
Аудит коду безсумнівно є важливою гарантією безпеки проєкту. Проєкти, які не пройшли аудит, зазвичай мають високі ризики. Проте навіть проєкти, які були перевірені кількома установами, такі як Cetus, все ще можуть зазнати атак. Це показує, що аудит коду, хоча й необхідний, не є безумовно надійним.
Деякі провідні DeFi проекти впровадили більш всебічні стратегії безпеки:
Ці випадки демонструють, що багатогранні та багаторівневі заходи безпеки є вирішальними для підвищення безпеки проекту.
Рекомендації щодо підвищення безпеки
Висновок
Інцидент з атакою на Cetus ще раз нагадує нам, що хоча безпека коду є важливою, вона не може повністю гарантувати абсолютну безпеку проекту. Проекти DeFi повинні вжити більш комплексних і постійних заходів безпеки, включаючи, але не обмежуючись, багатостороннім аудитом, програмами винагород за вразливості та регулярними оцінками безпеки. Водночас, інвестори, беручи участь у нових проектах DeFi, також повинні повністю усвідомлювати заходи безпеки проекту, обережно оцінюючи потенційні ризики.