Cetus подвергся атаке: ограничения аудита безопасности кода
Недавно DEX Cetus экосистемы SUI подвергся атаке, что вновь привлекло внимание к безопасности смарт-контрактов в отрасли. Несмотря на то, что Cetus провел несколько раундов аудита кода, он все же не смог полностью предотвратить эту атаку. Этот инцидент подчеркивает ограничения аудита безопасности кода в предотвращении потенциальных угроз.
Cetus прошел аудит кода несколькими организациями. Результаты аудита известной аудиторской компании показали, что были выявлены только 2 незначительных риска и 9 информационных рисков, большая часть из которых уже была устранена. Комплексная оценка, выданная этой организацией, составила 83,06, а оценка аудита кода достигла 96 баллов.
Кроме того, Cetus также опубликовал аудиторские отчеты от трех других профессиональных организаций. Эти отчеты были подготовлены MoveBit, OtterSec и Zellic, все они сосредоточены на аудите кода языка Move.
Аудиторский отчет MoveBit выявил 18 рисковых проблем, включая 1 критический риск, 2 основных риска, 3 умеренных риска и 12 незначительных риска. Согласно отчету, все эти проблемы были решены.
Аудиторский отчет OtterSec выявил 1 высокорискованную проблему, 1 среднерискованную проблему и 7 информационных рисков. Высокий и средний риски были устранены, некоторые информационные риски все еще находятся в процессе обработки.
Аудиторский отчет Zellic выявил 3 информационных риска, которые в основном касаются нормативности кода, при этом уровень безопасности относительно низкий.
Несмотря на то, что Cetus прошел несколько раундов аудита, ему все же не удалось избежать этой атаки. Это показывает, что даже проекты, прошедшие аудит у нескольких организаций, могут иметь проблемы с безопасностью. Сравнивая меры безопасности других новых DEX, мы можем обнаружить некоторые более комплексные стратегии безопасности:
Совместный аудит нескольких известных организаций: например, код GMX V2 был проверен 5 компаниями.
Высокая программа вознаграждений за уязвимости: GMX V2 и DYDX V4 запустили программу вознаграждений за уязвимости с максимальной суммой в 5 миллионов долларов США за один случай.
Постоянный мониторинг безопасности: некоторые проекты, помимо аудита кода, также регулярно сканируют сайты, DNS и другие элементы.
Конкуренция аудита с участием сообщества: выявление и устранение потенциальных уязвимостей с помощью коллективного разума.
Недавний инцидент с атакой на Cetus вновь напоминает нам о том, что хотя аудит безопасности кода важен, он не является панацеей. Для проектов DeFi требуется многопрофильный аудит в сочетании с высокими программами вознаграждений за уязвимости и постоянным мониторингом безопасности, чтобы относительно лучше обеспечить безопасность проекта. В то же время пользователи, участвуя в новых протоколах DeFi, должны особенно внимательно относиться к мерам безопасности и результатам аудита проекта, тщательно оценивая потенциальные риски.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
8 Лайков
Награда
8
4
Поделиться
комментарий
0/400
ProveMyZK
· 07-14 02:28
разыгрывайте людей как лохов一波就润了?
Посмотреть ОригиналОтветить0
BoredRiceBall
· 07-14 02:27
падение麻了 还搞个毛线呀
Посмотреть ОригиналОтветить0
TokenStorm
· 07-14 02:27
Код прошел проверку, но все равно провалился. Где контроль рисков? Совсем не умеют играть.
Cetus подвергся атаке, выявившей проблемы с безопасностью: многоразовая проверка не смогла предотвратить атаку Хакера
Cetus подвергся атаке: ограничения аудита безопасности кода
Недавно DEX Cetus экосистемы SUI подвергся атаке, что вновь привлекло внимание к безопасности смарт-контрактов в отрасли. Несмотря на то, что Cetus провел несколько раундов аудита кода, он все же не смог полностью предотвратить эту атаку. Этот инцидент подчеркивает ограничения аудита безопасности кода в предотвращении потенциальных угроз.
Cetus прошел аудит кода несколькими организациями. Результаты аудита известной аудиторской компании показали, что были выявлены только 2 незначительных риска и 9 информационных рисков, большая часть из которых уже была устранена. Комплексная оценка, выданная этой организацией, составила 83,06, а оценка аудита кода достигла 96 баллов.
Кроме того, Cetus также опубликовал аудиторские отчеты от трех других профессиональных организаций. Эти отчеты были подготовлены MoveBit, OtterSec и Zellic, все они сосредоточены на аудите кода языка Move.
Аудиторский отчет MoveBit выявил 18 рисковых проблем, включая 1 критический риск, 2 основных риска, 3 умеренных риска и 12 незначительных риска. Согласно отчету, все эти проблемы были решены.
Аудиторский отчет OtterSec выявил 1 высокорискованную проблему, 1 среднерискованную проблему и 7 информационных рисков. Высокий и средний риски были устранены, некоторые информационные риски все еще находятся в процессе обработки.
Аудиторский отчет Zellic выявил 3 информационных риска, которые в основном касаются нормативности кода, при этом уровень безопасности относительно низкий.
Несмотря на то, что Cetus прошел несколько раундов аудита, ему все же не удалось избежать этой атаки. Это показывает, что даже проекты, прошедшие аудит у нескольких организаций, могут иметь проблемы с безопасностью. Сравнивая меры безопасности других новых DEX, мы можем обнаружить некоторые более комплексные стратегии безопасности:
Совместный аудит нескольких известных организаций: например, код GMX V2 был проверен 5 компаниями.
Высокая программа вознаграждений за уязвимости: GMX V2 и DYDX V4 запустили программу вознаграждений за уязвимости с максимальной суммой в 5 миллионов долларов США за один случай.
Постоянный мониторинг безопасности: некоторые проекты, помимо аудита кода, также регулярно сканируют сайты, DNS и другие элементы.
Конкуренция аудита с участием сообщества: выявление и устранение потенциальных уязвимостей с помощью коллективного разума.
Недавний инцидент с атакой на Cetus вновь напоминает нам о том, что хотя аудит безопасности кода важен, он не является панацеей. Для проектов DeFi требуется многопрофильный аудит в сочетании с высокими программами вознаграждений за уязвимости и постоянным мониторингом безопасности, чтобы относительно лучше обеспечить безопасность проекта. В то же время пользователи, участвуя в новых протоколах DeFi, должны особенно внимательно относиться к мерам безопасности и результатам аудита проекта, тщательно оценивая потенциальные риски.