O ataque ao Cetus levanta reflexões sobre a auditoria de segurança do código
Recentemente, a exchange descentralizada Cetus no ecossistema SUI sofreu um ataque, gerando uma ampla discussão na indústria sobre a importância da auditoria de segurança do código. Embora a Cetus tenha passado por várias rodadas de auditoria de segurança, não conseguiu evitar a ocorrência deste ataque, o que leva a questionar: a auditoria de segurança do código é realmente suficiente?
Ao rever a situação de auditoria da Cetus, descobrimos que o projeto foi auditado por várias instituições reconhecidas. Uma conhecida instituição de auditoria fez uma revisão completa do código da Cetus, encontrando apenas 2 riscos leves e 9 riscos informativos, a maioria dos quais já foi resolvida. A pontuação geral dada pela instituição foi de 83,06 pontos, com uma pontuação de auditoria de código de 96 pontos.
Além disso, a Cetus também divulgou 5 relatórios de auditoria de instituições profissionais como MoveBit, OtterSec e Zellic. Tomando como exemplo a auditoria de código na cadeia SUI:
O relatório da MoveBit identificou um total de 18 problemas de risco, incluindo 1 risco fatal, 2 riscos principais, 3 riscos moderados e 12 riscos leves, todos os problemas foram resolvidos.
O relatório da OtterSec identificou 1 problema de alto risco, 1 problema de risco moderado e 7 riscos informativos. Os problemas de alto e moderado risco foram resolvidos, enquanto alguns riscos informativos ainda estão a ser tratados.
O relatório de auditoria da Zellic identificou 3 riscos informativos, principalmente relacionados à conformidade do código, com um nível de risco relativamente baixo.
É importante notar que MoveBit, OtterSec e Zellic são instituições especializadas na auditoria de código da linguagem Move, o que é especialmente importante para ecossistemas de novas blockchains públicas como a SUI.
No entanto, mesmo após várias auditorias profissionais, a Cetus ainda sofreu um ataque. Este incidente mais uma vez nos lembra que confiar apenas em auditorias de código pode não ser suficiente. No setor DeFi, cada vez mais projetos estão começando a adotar múltiplas medidas de segurança:
Auditoria conjunta de várias instituições: por exemplo, o GMX V2 foi auditado por 5 empresas, enquanto a DeGate teve a participação de 35 empresas.
Programa de recompensas por vulnerabilidades de alto valor: projetos como GMX V2 e DYDX V4 lançaram um programa de recompensas com um valor máximo de 5 milhões de dólares por item.
Monitorização de segurança contínua: além da auditoria inicial, alguns projetos também realizam varreduras de segurança e atualizações regulares.
Participação da comunidade: Aumentar as oportunidades de descobrir problemas potenciais através de código aberto e incentivando a revisão pela comunidade.
O ataque ao Cetus serve como um lembrete de que, na indústria de blockchain em rápida evolução, a segurança é sempre um desafio contínuo. Embora a auditoria de código seja uma medida importante para garantir a segurança do projeto, ela não é infalível. As equipes de projeto precisam adotar uma estratégia de segurança mais abrangente e contínua, incluindo, mas não se limitando a, auditorias múltiplas, programas de recompensas por vulnerabilidades, avaliações de segurança regulares, etc. Além disso, os usuários devem permanecer vigilantes ao participar de qualquer projeto DeFi, entendendo os riscos potenciais.
Com a contínua evolução da tecnologia blockchain, esperamos ver mais soluções de segurança inovadoras surgirem para enfrentar os desafios de segurança cada vez mais complexos, garantindo o desenvolvimento saudável de todo o ecossistema.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
12 Curtidas
Recompensa
12
4
Repostar
Compartilhar
Comentário
0/400
CryptoTarotReader
· 08-11 19:55
A carne dura ficou em casa.
Ver originalResponder0
Rugman_Walking
· 08-11 19:53
Só isso é que se atreve a falar de auditoria de segurança
Ver originalResponder0
gas_fee_therapy
· 08-11 19:51
96 pontos?? Socorro!
Ver originalResponder0
HodlOrRegret
· 08-11 19:43
A revisão não serve para nada, 0 pontos e mesmo assim é roubado.
Cetus atacado, a segurança da auditoria de código é questionada.
O ataque ao Cetus levanta reflexões sobre a auditoria de segurança do código
Recentemente, a exchange descentralizada Cetus no ecossistema SUI sofreu um ataque, gerando uma ampla discussão na indústria sobre a importância da auditoria de segurança do código. Embora a Cetus tenha passado por várias rodadas de auditoria de segurança, não conseguiu evitar a ocorrência deste ataque, o que leva a questionar: a auditoria de segurança do código é realmente suficiente?
Ao rever a situação de auditoria da Cetus, descobrimos que o projeto foi auditado por várias instituições reconhecidas. Uma conhecida instituição de auditoria fez uma revisão completa do código da Cetus, encontrando apenas 2 riscos leves e 9 riscos informativos, a maioria dos quais já foi resolvida. A pontuação geral dada pela instituição foi de 83,06 pontos, com uma pontuação de auditoria de código de 96 pontos.
Além disso, a Cetus também divulgou 5 relatórios de auditoria de instituições profissionais como MoveBit, OtterSec e Zellic. Tomando como exemplo a auditoria de código na cadeia SUI:
O relatório da MoveBit identificou um total de 18 problemas de risco, incluindo 1 risco fatal, 2 riscos principais, 3 riscos moderados e 12 riscos leves, todos os problemas foram resolvidos.
O relatório da OtterSec identificou 1 problema de alto risco, 1 problema de risco moderado e 7 riscos informativos. Os problemas de alto e moderado risco foram resolvidos, enquanto alguns riscos informativos ainda estão a ser tratados.
O relatório de auditoria da Zellic identificou 3 riscos informativos, principalmente relacionados à conformidade do código, com um nível de risco relativamente baixo.
É importante notar que MoveBit, OtterSec e Zellic são instituições especializadas na auditoria de código da linguagem Move, o que é especialmente importante para ecossistemas de novas blockchains públicas como a SUI.
No entanto, mesmo após várias auditorias profissionais, a Cetus ainda sofreu um ataque. Este incidente mais uma vez nos lembra que confiar apenas em auditorias de código pode não ser suficiente. No setor DeFi, cada vez mais projetos estão começando a adotar múltiplas medidas de segurança:
Auditoria conjunta de várias instituições: por exemplo, o GMX V2 foi auditado por 5 empresas, enquanto a DeGate teve a participação de 35 empresas.
Programa de recompensas por vulnerabilidades de alto valor: projetos como GMX V2 e DYDX V4 lançaram um programa de recompensas com um valor máximo de 5 milhões de dólares por item.
Monitorização de segurança contínua: além da auditoria inicial, alguns projetos também realizam varreduras de segurança e atualizações regulares.
Participação da comunidade: Aumentar as oportunidades de descobrir problemas potenciais através de código aberto e incentivando a revisão pela comunidade.
O ataque ao Cetus serve como um lembrete de que, na indústria de blockchain em rápida evolução, a segurança é sempre um desafio contínuo. Embora a auditoria de código seja uma medida importante para garantir a segurança do projeto, ela não é infalível. As equipes de projeto precisam adotar uma estratégia de segurança mais abrangente e contínua, incluindo, mas não se limitando a, auditorias múltiplas, programas de recompensas por vulnerabilidades, avaliações de segurança regulares, etc. Além disso, os usuários devem permanecer vigilantes ao participar de qualquer projeto DeFi, entendendo os riscos potenciais.
Com a contínua evolução da tecnologia blockchain, esperamos ver mais soluções de segurança inovadoras surgirem para enfrentar os desafios de segurança cada vez mais complexos, garantindo o desenvolvimento saudável de todo o ecossistema.