Cetus遭受攻擊：代碼安全審計的局限性

近日，SUI生態DEX Cetus遭受攻擊，引發了業內對智能合約安全的再度關注。盡管Cetus已經進行了多輪代碼審計，但仍未能完全防範此次攻擊。這一事件凸顯了代碼安全審計在防範潛在威脅方面的局限性。

Cetus曾接受多家機構的代碼審計。某知名審計機構對Cetus的審計結果顯示，僅發現2個輕度風險和9個信息性風險，大部分已得到解決。該機構給出的綜合評分爲83.06，代碼審計評分高達96分。

除此之外，Cetus還公開了來自其他三家專業機構的審計報告。這些報告分別來自MoveBit、OtterSec和Zellic，都專注於Move語言代碼審計。

MoveBit的審計報告指出了18個風險問題，包括1個致命風險、2個主要風險、3個中度風險和12個輕度風險。據報告顯示，這些問題均已得到解決。

OtterSec的審計報告發現了1個高風險問題、1個中度風險問題和7個信息性風險。高風險和中度風險問題已解決，部分信息性風險仍在處理中。

Zellic的審計報告則發現了3個信息性風險，主要涉及代碼規範性，安全風險相對較低。

盡管Cetus經過了多輪審計，仍然未能避免此次攻擊。這表明，即使是經過多家機構審計的項目也可能存在安全隱患。對比其他新興DEX的安全措施，我們可以發現一些更爲全面的安全策略：

1. 多家知名機構聯合審計：如GMX V2由5家公司進行代碼審計。

2. 高額漏洞賞金計劃：GMX V2和DYDX V4都推出了單項最高500萬美元的漏洞賞金計劃。

3. 持續的安全監控：部分項目除了代碼審計，還會對網站、DNS等進行定期掃描。

4. 社區參與的審計競爭：通過集思廣益的方式發現並排除潛在漏洞。

這次Cetus遭受攻擊的事件再次提醒我們，代碼安全審計雖然重要，但並非萬無一失。對於DeFi項目而言，多主體審計配合高額漏洞賞金計劃和持續的安全監控，才能相對更好地保障項目安全。同時，用戶在參與新興DeFi協議時，也應當格外關注項目的安全措施和審計情況，謹慎評估潛在風險。