Cetus atacado: limitações da auditoria de segurança de código
Recentemente, o DEX Cetus do ecossistema SUI foi atacado, despertando novamente a atenção da indústria para a segurança dos contratos inteligentes. Embora o Cetus tenha passado por várias rodadas de auditoria de código, não conseguiu prevenir completamente este ataque. Este evento destaca as limitações da auditoria de segurança de código na prevenção de ameaças potenciais.
A Cetus foi auditada por várias instituições. Uma conhecida empresa de auditoria revelou que, na sua avaliação à Cetus, foram encontrados apenas 2 riscos leves e 9 riscos informativos, a maioria dos quais já foi resolvida. A pontuação global dada pela instituição foi de 83,06, enquanto a pontuação da auditoria de código foi de 96 pontos.
Além disso, a Cetus também divulgou relatórios de auditoria de outras três instituições especializadas. Esses relatórios são da MoveBit, OtterSec e Zellic, todos focados na auditoria de código da linguagem Move.
O relatório de auditoria da MoveBit identificou 18 problemas de risco, incluindo 1 risco crítico, 2 riscos significativos, 3 riscos moderados e 12 riscos menores. De acordo com o relatório, todos esses problemas já foram resolvidos.
O relatório de auditoria da OtterSec identificou 1 problema de alto risco, 1 problema de risco moderado e 7 riscos informativos. Os problemas de alto e moderado risco foram resolvidos, enquanto alguns riscos informativos ainda estão em processo de tratamento.
O relatório de auditoria da Zellic identificou 3 riscos informativos, principalmente relacionados à conformidade do código, com riscos de segurança relativamente baixos.
Apesar de o Cetus ter passado por várias auditorias, não conseguiu evitar este ataque. Isso indica que até mesmo projetos auditados por várias instituições podem ter vulnerabilidades de segurança. Comparando com as medidas de segurança de outras DEX emergentes, podemos identificar algumas estratégias de segurança mais abrangentes:
Auditoria conjunta de várias instituições renomadas: por exemplo, o GMX V2 foi auditado por 5 empresas.
Programa de recompensas por vulnerabilidades de alto valor: GMX V2 e DYDX V4 lançaram um programa de recompensas por vulnerabilidades com um valor máximo de 5 milhões de dólares por item.
Monitorização de segurança contínua: alguns projetos, além da auditoria de código, realizam varreduras regulares ao website, DNS, entre outros.
Competição de auditoria com participação da comunidade: descobrir e eliminar potenciais vulnerabilidades através de um esforço colaborativo.
O incidente de ataque ao Cetus desta vez nos lembra novamente que, embora a auditoria de segurança do código seja importante, não é infalível. Para projetos DeFi, uma auditoria de múltiplas partes, combinada com um alto programa de recompensas por vulnerabilidades e monitoramento contínuo de segurança, é a melhor maneira de garantir a segurança do projeto. Ao mesmo tempo, os usuários que participam de novos protocolos DeFi devem prestar atenção especial às medidas de segurança e à situação da auditoria do projeto, avaliando cuidadosamente os riscos potenciais.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
8 gostos
Recompensa
8
4
Partilhar
Comentar
0/400
ProveMyZK
· 07-14 02:28
fazer as pessoas de parvas uma vez e fica tudo bem?
Ver originalResponder0
BoredRiceBall
· 07-14 02:27
Estou entorpecido e ainda estou a fazer um fio
Ver originalResponder0
TokenStorm
· 07-14 02:27
O código passou na revisão mas deu erro. E o controle de riscos? Não sabe mesmo jogar.
Cetus atacado expõe riscos de segurança: várias auditorias não conseguem impedir ataques de Hacker
Cetus atacado: limitações da auditoria de segurança de código
Recentemente, o DEX Cetus do ecossistema SUI foi atacado, despertando novamente a atenção da indústria para a segurança dos contratos inteligentes. Embora o Cetus tenha passado por várias rodadas de auditoria de código, não conseguiu prevenir completamente este ataque. Este evento destaca as limitações da auditoria de segurança de código na prevenção de ameaças potenciais.
A Cetus foi auditada por várias instituições. Uma conhecida empresa de auditoria revelou que, na sua avaliação à Cetus, foram encontrados apenas 2 riscos leves e 9 riscos informativos, a maioria dos quais já foi resolvida. A pontuação global dada pela instituição foi de 83,06, enquanto a pontuação da auditoria de código foi de 96 pontos.
Além disso, a Cetus também divulgou relatórios de auditoria de outras três instituições especializadas. Esses relatórios são da MoveBit, OtterSec e Zellic, todos focados na auditoria de código da linguagem Move.
O relatório de auditoria da MoveBit identificou 18 problemas de risco, incluindo 1 risco crítico, 2 riscos significativos, 3 riscos moderados e 12 riscos menores. De acordo com o relatório, todos esses problemas já foram resolvidos.
O relatório de auditoria da OtterSec identificou 1 problema de alto risco, 1 problema de risco moderado e 7 riscos informativos. Os problemas de alto e moderado risco foram resolvidos, enquanto alguns riscos informativos ainda estão em processo de tratamento.
O relatório de auditoria da Zellic identificou 3 riscos informativos, principalmente relacionados à conformidade do código, com riscos de segurança relativamente baixos.
Apesar de o Cetus ter passado por várias auditorias, não conseguiu evitar este ataque. Isso indica que até mesmo projetos auditados por várias instituições podem ter vulnerabilidades de segurança. Comparando com as medidas de segurança de outras DEX emergentes, podemos identificar algumas estratégias de segurança mais abrangentes:
Auditoria conjunta de várias instituições renomadas: por exemplo, o GMX V2 foi auditado por 5 empresas.
Programa de recompensas por vulnerabilidades de alto valor: GMX V2 e DYDX V4 lançaram um programa de recompensas por vulnerabilidades com um valor máximo de 5 milhões de dólares por item.
Monitorização de segurança contínua: alguns projetos, além da auditoria de código, realizam varreduras regulares ao website, DNS, entre outros.
Competição de auditoria com participação da comunidade: descobrir e eliminar potenciais vulnerabilidades através de um esforço colaborativo.
O incidente de ataque ao Cetus desta vez nos lembra novamente que, embora a auditoria de segurança do código seja importante, não é infalível. Para projetos DeFi, uma auditoria de múltiplas partes, combinada com um alto programa de recompensas por vulnerabilidades e monitoramento contínuo de segurança, é a melhor maneira de garantir a segurança do projeto. Ao mesmo tempo, os usuários que participam de novos protocolos DeFi devem prestar atenção especial às medidas de segurança e à situação da auditoria do projeto, avaliando cuidadosamente os riscos potenciais.