Атака на Cetus вызывает размышления о безопасности аудита кода
Недавно децентрализованная биржа Cetus в экосистеме SUI подверглась атаке, что вызвало широкое обсуждение важности аудита безопасности кода в отрасли. Несмотря на то, что Cetus уже прошла несколько раундов аудита безопасности, ей все же не удалось избежать этой атаки, что ставит под сомнение: действительно ли аудит безопасности кода достаточен?
Обратясь к результатам аудита Cetus, мы обнаружили, что проект проходил аудит у нескольких известных организаций. Одна известная аудиторская компания провела всестороннюю проверку кода Cetus, выявив лишь 2 незначительных риска и 9 информационных рисков, большая часть из которых уже была устранена. Комплексная оценка, выданная этой организацией, составила 83.06 балла, а оценка кода по аудиту достигла 96 баллов.
Кроме того, Cetus также опубликовал 5 аудиторских отчетов от профессиональных организаций, таких как MoveBit, OtterSec и Zellic. Например, аудит кода на цепочке SUI:
Отчет MoveBit указывает на обнаружение 18 рисковых проблем, включая 1 критический риск, 2 основных риска, 3 умеренных риска и 12 незначительных риска, все проблемы были решены.
Отчет OtterSec выявил 1 проблему с высоким риском, 1 проблему со средним риском и 7 информационных рисков. Проблемы с высоким и средним риском были решены, некоторые информационные риски все еще находятся в процессе обработки.
Аудит Zellic выявил 3 информационных риска, которые в основном касаются стандартов кода, уровень риска низкий.
Стоит отметить, что MoveBit, OtterSec и Zellic являются организациями, специализирующимися на аудите кода языка Move, что особенно важно для новых экосистем публичных блокчейнов, таких как SUI.
Тем не менее, даже после нескольких раундов профессионального аудита, Cetus все равно подвергся атаке. Этот инцидент снова напоминает нам о том, что полагаться только на аудит кода может быть недостаточно. В области DeFi все больше проектов начинают применять многослойные меры безопасности:
Совместный аудит нескольких организаций: например, GMX V2 был совместно проверен 5 компаниями, а DeGate был проверен даже 35 компаниями.
Высокая программа вознаграждений за уязвимости: проекты, такие как GMX V2 и DYDX V4, запустили программу с вознаграждением до 5 миллионов долларов за каждую уязвимость.
Непрерывный мониторинг безопасности: помимо начального аудита, некоторые проекты также проводят регулярные проверки безопасности и обновления.
Участие сообщества: увеличение возможностей для обнаружения потенциальных проблем через открытый исходный код и поощрение проверки сообществом.
Инцидент с атакой на Cetus напоминает нам о том, что в быстро развивающейся отрасли блокчейна безопасность всегда является постоянной проблемой. Хотя аудит кода является важным средством обеспечения безопасности проекта, он не является стопроцентной гарантией. Команды проектов должны принимать более комплексные и постоянные меры безопасности, включая, но не ограничиваясь, многоуровневыми аудитами, программами вознаграждений за уязвимости, регулярными оценками безопасности и т.д. В то же время пользователи должны оставаться бдительными при участии в любых DeFi проектах и осознавать потенциальные риски.
С развитием технологий блокчейн мы ожидаем появления большего количества инновационных решений для обеспечения безопасности, чтобы справиться с все более сложными вызовами безопасности и обеспечить здоровое развитие всей экосистемы.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
15 Лайков
Награда
15
5
Репост
Поделиться
комментарий
0/400
DefiPlaybook
· 08-14 19:23
Данные показывают, что аудит получил 96 баллов, потеря составила 2M. Добро пожаловать в новое тестирование на атаки.
Посмотреть ОригиналОтветить0
CryptoTarotReader
· 08-11 19:55
Жесткое мясо обесценилось до нуля.
Посмотреть ОригиналОтветить0
Rugman_Walking
· 08-11 19:53
И только это смело говорить о безопасности аудита
Посмотреть ОригиналОтветить0
gas_fee_therapy
· 08-11 19:51
96 баллов??Спасите!
Посмотреть ОригиналОтветить0
HodlOrRegret
· 08-11 19:43
Какой смысл в проверке, если 0 баллов все равно могут быть украдены?
Cetus подвергся атаке, безопасность аудита кода подверглась сомнению
Атака на Cetus вызывает размышления о безопасности аудита кода
Недавно децентрализованная биржа Cetus в экосистеме SUI подверглась атаке, что вызвало широкое обсуждение важности аудита безопасности кода в отрасли. Несмотря на то, что Cetus уже прошла несколько раундов аудита безопасности, ей все же не удалось избежать этой атаки, что ставит под сомнение: действительно ли аудит безопасности кода достаточен?
Обратясь к результатам аудита Cetus, мы обнаружили, что проект проходил аудит у нескольких известных организаций. Одна известная аудиторская компания провела всестороннюю проверку кода Cetus, выявив лишь 2 незначительных риска и 9 информационных рисков, большая часть из которых уже была устранена. Комплексная оценка, выданная этой организацией, составила 83.06 балла, а оценка кода по аудиту достигла 96 баллов.
Кроме того, Cetus также опубликовал 5 аудиторских отчетов от профессиональных организаций, таких как MoveBit, OtterSec и Zellic. Например, аудит кода на цепочке SUI:
Отчет MoveBit указывает на обнаружение 18 рисковых проблем, включая 1 критический риск, 2 основных риска, 3 умеренных риска и 12 незначительных риска, все проблемы были решены.
Отчет OtterSec выявил 1 проблему с высоким риском, 1 проблему со средним риском и 7 информационных рисков. Проблемы с высоким и средним риском были решены, некоторые информационные риски все еще находятся в процессе обработки.
Аудит Zellic выявил 3 информационных риска, которые в основном касаются стандартов кода, уровень риска низкий.
Стоит отметить, что MoveBit, OtterSec и Zellic являются организациями, специализирующимися на аудите кода языка Move, что особенно важно для новых экосистем публичных блокчейнов, таких как SUI.
Тем не менее, даже после нескольких раундов профессионального аудита, Cetus все равно подвергся атаке. Этот инцидент снова напоминает нам о том, что полагаться только на аудит кода может быть недостаточно. В области DeFi все больше проектов начинают применять многослойные меры безопасности:
Совместный аудит нескольких организаций: например, GMX V2 был совместно проверен 5 компаниями, а DeGate был проверен даже 35 компаниями.
Высокая программа вознаграждений за уязвимости: проекты, такие как GMX V2 и DYDX V4, запустили программу с вознаграждением до 5 миллионов долларов за каждую уязвимость.
Непрерывный мониторинг безопасности: помимо начального аудита, некоторые проекты также проводят регулярные проверки безопасности и обновления.
Участие сообщества: увеличение возможностей для обнаружения потенциальных проблем через открытый исходный код и поощрение проверки сообществом.
Инцидент с атакой на Cetus напоминает нам о том, что в быстро развивающейся отрасли блокчейна безопасность всегда является постоянной проблемой. Хотя аудит кода является важным средством обеспечения безопасности проекта, он не является стопроцентной гарантией. Команды проектов должны принимать более комплексные и постоянные меры безопасности, включая, но не ограничиваясь, многоуровневыми аудитами, программами вознаграждений за уязвимости, регулярными оценками безопасности и т.д. В то же время пользователи должны оставаться бдительными при участии в любых DeFi проектах и осознавать потенциальные риски.
С развитием технологий блокчейн мы ожидаем появления большего количества инновационных решений для обеспечения безопасности, чтобы справиться с все более сложными вызовами безопасности и обеспечить здоровое развитие всей экосистемы.