مؤخراً، تعرضت بورصة Cetus اللامركزية في نظام SUI البيئي لهجوم، مما أثار نقاشاً واسعاً في الصناعة حول أهمية تدقيق أمان الكود. على الرغم من أن Cetus قد أجرت عدة جولات من تدقيق الأمان، إلا أنها لم تتمكن من تجنب وقوع هذا الحادث الهجومي، مما يدفع إلى التساؤل: هل تدقيق أمان الكود فعلاً كافٍ؟
عند مراجعة حالة تدقيق Cetus، وجدنا أن المشروع قد خضع لعدة تدقيقات من قبل مؤسسات معروفة. قامت إحدى وكالات التدقيق المعروفة بإجراء فحص شامل لكود Cetus، حيث لم تجد سوى مخاطر خفيفة اثنتين ومخاطر معلوماتية تسعة، وقد تم حل معظمها. وقد أعطت الوكالة تقييمًا شاملًا قدره 83.06 نقطة، بينما كان تقييم تدقيق الكود مرتفعًا للغاية حيث بلغ 96 نقطة.
بالإضافة إلى ذلك، كشفت Cetus عن 5 تقارير تدقيق من مؤسسات متخصصة مثل MoveBit وOtterSec وZellic. على سبيل المثال، تدقيق الشيفرة على سلسلة SUI:
أشار تقرير MoveBit إلى أنه تم اكتشاف 18 مشكلة خطر، بما في ذلك 1 خطر قاتل، و2 خطر رئيسي، و3 خطر معتدل، و12 خطر خفيف، وقد تم حل جميع المشاكل.
وجد تقرير OtterSec مشكلة عالية المخاطر واحدة، ومشكلة متوسطة المخاطر واحدة، وسبع مخاطر معلوماتية. تم حل المشكلات العالية والمتوسطة المخاطر، ولا يزال بعض المخاطر المعلوماتية قيد المعالجة.
وجد تقرير تدقيق Zellic ثلاثة مخاطر معلوماتية، تتعلق بشكل أساسي بمعايير الشيفرة، وكانت مستويات المخاطر منخفضة.
من الجدير بالذكر أن MoveBit و OtterSec و Zellic هي من المؤسسات المتخصصة في تدقيق كود لغة Move، وهو أمر مهم بشكل خاص للبيئات الجديدة مثل SUI.
ومع ذلك، حتى بعد عدة جولات من التدقيق المهني، تعرضت Cetus للاعتداء. تذكرنا هذه الحادثة مرة أخرى أن الاعتماد فقط على تدقيق الكود قد لا يكون كافياً. في مجال DeFi، بدأ عدد متزايد من المشاريع في اتخاذ تدابير أمان متعددة:
تدقيق مشترك من قبل عدة مؤسسات: مثل GMX V2 الذي تم تدقيقه من قبل 5 شركات، بينما DeGate شاركت فيه 35 شركة.
برنامج مكافآت الثغرات العالية: أطلقت مشاريع مثل GMX V2 و DYDX V4 برنامج مكافآت يصل إلى 5 ملايين دولار لكل ثغرة.
المراقبة الأمنية المستمرة: بالإضافة إلى التدقيق الأولي، فإن بعض المشاريع ستقوم أيضًا بإجراء مسح أمني وتحديثات بشكل دوري.
المشاركة المجتمعية: من خلال توفير كود مفتوح المصدر وتشجيع مراجعة المجتمع، زيادة الفرص لاكتشاف المشكلات المحتملة.
تذكرنا حادثة هجوم سيتوس بأن الأمان هو دائماً تحدٍ مستمر في صناعة البلوك تشين سريعة التطور. على الرغم من أن تدقيق الشفرات هو وسيلة هامة لضمان أمان المشروع، إلا أنه ليس خالياً من العيوب. يحتاج فريق المشروع إلى اعتماد استراتيجيات أمان أكثر شمولية واستمرارية، بما في ذلك على سبيل المثال لا الحصر، تدقيقات متعددة الأطراف، وبرامج مكافآت الثغرات، وتقييمات أمان دورية. في الوقت نفسه، يجب على المستخدمين أن يظلوا يقظين عند المشاركة في أي مشاريع DeFi، وأن يكونوا على دراية بالمخاطر المحتملة.
مع التطور المستمر لتكنولوجيا blockchain ، نتطلع إلى رؤية المزيد من الحلول الأمنية المبتكرة تظهر لمواجهة التحديات الأمنية المعقدة المتزايدة ، لضمان التنمية الصحية للنظام البيئي بأكمله.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 15
أعجبني
15
5
إعادة النشر
مشاركة
تعليق
0/400
DefiPlaybook
· 08-14 19:23
تظهر بيانات الواجهة أن قيمة التدقيق هي 96 نقطة، والخسارة 2 مليون. مرحبًا بالاختبار الهجومي الجديد.
تعرضت Cetus لهجوم، وأثيرت تساؤلات حول أمان تدقيق الكود.
حادثة هجوم Cetus تثير التفكير في تدقيق أمان الكود
مؤخراً، تعرضت بورصة Cetus اللامركزية في نظام SUI البيئي لهجوم، مما أثار نقاشاً واسعاً في الصناعة حول أهمية تدقيق أمان الكود. على الرغم من أن Cetus قد أجرت عدة جولات من تدقيق الأمان، إلا أنها لم تتمكن من تجنب وقوع هذا الحادث الهجومي، مما يدفع إلى التساؤل: هل تدقيق أمان الكود فعلاً كافٍ؟
عند مراجعة حالة تدقيق Cetus، وجدنا أن المشروع قد خضع لعدة تدقيقات من قبل مؤسسات معروفة. قامت إحدى وكالات التدقيق المعروفة بإجراء فحص شامل لكود Cetus، حيث لم تجد سوى مخاطر خفيفة اثنتين ومخاطر معلوماتية تسعة، وقد تم حل معظمها. وقد أعطت الوكالة تقييمًا شاملًا قدره 83.06 نقطة، بينما كان تقييم تدقيق الكود مرتفعًا للغاية حيث بلغ 96 نقطة.
بالإضافة إلى ذلك، كشفت Cetus عن 5 تقارير تدقيق من مؤسسات متخصصة مثل MoveBit وOtterSec وZellic. على سبيل المثال، تدقيق الشيفرة على سلسلة SUI:
أشار تقرير MoveBit إلى أنه تم اكتشاف 18 مشكلة خطر، بما في ذلك 1 خطر قاتل، و2 خطر رئيسي، و3 خطر معتدل، و12 خطر خفيف، وقد تم حل جميع المشاكل.
وجد تقرير OtterSec مشكلة عالية المخاطر واحدة، ومشكلة متوسطة المخاطر واحدة، وسبع مخاطر معلوماتية. تم حل المشكلات العالية والمتوسطة المخاطر، ولا يزال بعض المخاطر المعلوماتية قيد المعالجة.
وجد تقرير تدقيق Zellic ثلاثة مخاطر معلوماتية، تتعلق بشكل أساسي بمعايير الشيفرة، وكانت مستويات المخاطر منخفضة.
من الجدير بالذكر أن MoveBit و OtterSec و Zellic هي من المؤسسات المتخصصة في تدقيق كود لغة Move، وهو أمر مهم بشكل خاص للبيئات الجديدة مثل SUI.
ومع ذلك، حتى بعد عدة جولات من التدقيق المهني، تعرضت Cetus للاعتداء. تذكرنا هذه الحادثة مرة أخرى أن الاعتماد فقط على تدقيق الكود قد لا يكون كافياً. في مجال DeFi، بدأ عدد متزايد من المشاريع في اتخاذ تدابير أمان متعددة:
تدقيق مشترك من قبل عدة مؤسسات: مثل GMX V2 الذي تم تدقيقه من قبل 5 شركات، بينما DeGate شاركت فيه 35 شركة.
برنامج مكافآت الثغرات العالية: أطلقت مشاريع مثل GMX V2 و DYDX V4 برنامج مكافآت يصل إلى 5 ملايين دولار لكل ثغرة.
المراقبة الأمنية المستمرة: بالإضافة إلى التدقيق الأولي، فإن بعض المشاريع ستقوم أيضًا بإجراء مسح أمني وتحديثات بشكل دوري.
المشاركة المجتمعية: من خلال توفير كود مفتوح المصدر وتشجيع مراجعة المجتمع، زيادة الفرص لاكتشاف المشكلات المحتملة.
! SUI Ecosystem DEX #Cetus هل تدقيق أمان الكود كاف حقا عند الهجوم؟
تذكرنا حادثة هجوم سيتوس بأن الأمان هو دائماً تحدٍ مستمر في صناعة البلوك تشين سريعة التطور. على الرغم من أن تدقيق الشفرات هو وسيلة هامة لضمان أمان المشروع، إلا أنه ليس خالياً من العيوب. يحتاج فريق المشروع إلى اعتماد استراتيجيات أمان أكثر شمولية واستمرارية، بما في ذلك على سبيل المثال لا الحصر، تدقيقات متعددة الأطراف، وبرامج مكافآت الثغرات، وتقييمات أمان دورية. في الوقت نفسه، يجب على المستخدمين أن يظلوا يقظين عند المشاركة في أي مشاريع DeFi، وأن يكونوا على دراية بالمخاطر المحتملة.
مع التطور المستمر لتكنولوجيا blockchain ، نتطلع إلى رؤية المزيد من الحلول الأمنية المبتكرة تظهر لمواجهة التحديات الأمنية المعقدة المتزايدة ، لضمان التنمية الصحية للنظام البيئي بأكمله.