Напад на Cetus викликав роздуми про безпеку аудиту коду
Нещодавно децентралізована біржа Cetus в екосистемі SUI зазнала атаки, що спричинило широкі дискусії в галузі щодо важливості аудиту безпеки коду. Незважаючи на те, що Cetus вже провела кілька раундів аудиту безпеки, вона все ж не змогла уникнути цієї атаки, що викликає питання: чи дійсно аудит безпеки коду достатній?
Оглядаючи результати аудиту Cetus, ми виявили, що проект проходив аудит у кількох відомих організацій. Одна відома аудиторська компанія провела всебічну перевірку коду Cetus і виявила лише 2 незначні ризики та 9 інформаційних ризиків, більшість з яких вже була усунена. Загальна оцінка, надана цією компанією, становить 83,06 бала, а оцінка аудиту коду досягає 96 балів.
Окрім цього, Cetus також оприлюднив 5 звітів аудитів від професійних установ, таких як MoveBit, OtterSec та Zellic. Наприклад, аудит коду на ланцюгу SUI:
Звіт MoveBit вказує на виявлення 18 ризикових проблем, включаючи 1 критичний ризик, 2 важливих ризики, 3 середніх ризики та 12 незначних ризиків, усі проблеми були вирішені.
Звіт OtterSec виявив 1 проблему з високим ризиком, 1 проблему з помірним ризиком і 7 інформаційних ризиків. Проблеми з високим і помірним ризиком були вирішені, частина інформаційних ризиків все ще обробляється.
Аудиторський звіт Zellic виявив 3 інформаційні ризики, які в основному стосуються норм кодування, рівень ризику є низьким.
Варто зазначити, що MoveBit, OtterSec та Zellic є установами, які спеціалізуються на аудиті коду Move, що є особливо важливим для нових екосистем публічних блокчейнів, таких як SUI.
Проте, навіть після кількох професійних аудитів, Cetus все ще зазнав атаки. Ця подія знову нагадує нам, що просто покладатися на аудит коду може бути недостатньо. У сфері DeFi все більше проектів починають впроваджувати багатократні заходи безпеки:
Спільний аудит кількох установ: наприклад, GMX V2 був спільно перевірений 5 компаніями, а DeGate навіть має участь 35 компаній.
Високі нагороди за вразливості: проекти, такі як GMX V2 та DYDX V4, запровадили програму нагороди до 5 мільйонів доларів за окремі вразливості.
Постійний моніторинг безпеки: окрім початкового аудиту, деякі проекти також проводять регулярні сканування безпеки та оновлення.
Участь спільноти: через відкритий код та заохочення спільнотного рецензування збільшити можливості виявлення потенційних проблем.
Інцидент з атакою на Cetus нагадує нам, що в швидко розвиваючійся індустрії блокчейну безпека завжди є постійним викликом. Хоча аудит коду є важливим засобом забезпечення безпеки проекту, він не є безсумнівним. Команди проекту повинні вжити більш комплексних і постійних заходів безпеки, включаючи, але не обмежуючись, багаторазовими аудитами, програмами винагород за вразливості, регулярними оцінками безпеки тощо. У той же час, користувачі, беручи участь у будь-яких DeFi проектах, також повинні бути насторожі, усвідомлюючи потенційні ризики.
З розвитком технології блокчейн ми очікуємо побачити більше інноваційних рішень безпеки, щоб впоратися з дедалі складнішими викликами безпеки та забезпечити здоровий розвиток всієї екосистеми.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
15 лайків
Нагородити
15
5
Репост
Поділіться
Прокоментувати
0/400
DefiPlaybook
· 08-14 19:23
Дані свідчать, що аудит отримав 96 балів, збитки 2M, ласкаво просимо до нового тесту на атаки.
Переглянути оригіналвідповісти на0
CryptoTarotReader
· 08-11 19:55
М'ясо стало жорстким до краю.
Переглянути оригіналвідповісти на0
Rugman_Walking
· 08-11 19:53
І це сміє говорити про аудит безпеки
Переглянути оригіналвідповісти на0
gas_fee_therapy
· 08-11 19:51
96 балів??Допоможіть!
Переглянути оригіналвідповісти на0
HodlOrRegret
· 08-11 19:43
Перевірка не має жодного сенсу, 0 балів все одно вкрадуть.
Cetus зазнав нападу, безпека аудиту коду викликає сумніви
Напад на Cetus викликав роздуми про безпеку аудиту коду
Нещодавно децентралізована біржа Cetus в екосистемі SUI зазнала атаки, що спричинило широкі дискусії в галузі щодо важливості аудиту безпеки коду. Незважаючи на те, що Cetus вже провела кілька раундів аудиту безпеки, вона все ж не змогла уникнути цієї атаки, що викликає питання: чи дійсно аудит безпеки коду достатній?
Оглядаючи результати аудиту Cetus, ми виявили, що проект проходив аудит у кількох відомих організацій. Одна відома аудиторська компанія провела всебічну перевірку коду Cetus і виявила лише 2 незначні ризики та 9 інформаційних ризиків, більшість з яких вже була усунена. Загальна оцінка, надана цією компанією, становить 83,06 бала, а оцінка аудиту коду досягає 96 балів.
Окрім цього, Cetus також оприлюднив 5 звітів аудитів від професійних установ, таких як MoveBit, OtterSec та Zellic. Наприклад, аудит коду на ланцюгу SUI:
Звіт MoveBit вказує на виявлення 18 ризикових проблем, включаючи 1 критичний ризик, 2 важливих ризики, 3 середніх ризики та 12 незначних ризиків, усі проблеми були вирішені.
Звіт OtterSec виявив 1 проблему з високим ризиком, 1 проблему з помірним ризиком і 7 інформаційних ризиків. Проблеми з високим і помірним ризиком були вирішені, частина інформаційних ризиків все ще обробляється.
Аудиторський звіт Zellic виявив 3 інформаційні ризики, які в основному стосуються норм кодування, рівень ризику є низьким.
Варто зазначити, що MoveBit, OtterSec та Zellic є установами, які спеціалізуються на аудиті коду Move, що є особливо важливим для нових екосистем публічних блокчейнів, таких як SUI.
Проте, навіть після кількох професійних аудитів, Cetus все ще зазнав атаки. Ця подія знову нагадує нам, що просто покладатися на аудит коду може бути недостатньо. У сфері DeFi все більше проектів починають впроваджувати багатократні заходи безпеки:
Спільний аудит кількох установ: наприклад, GMX V2 був спільно перевірений 5 компаніями, а DeGate навіть має участь 35 компаній.
Високі нагороди за вразливості: проекти, такі як GMX V2 та DYDX V4, запровадили програму нагороди до 5 мільйонів доларів за окремі вразливості.
Постійний моніторинг безпеки: окрім початкового аудиту, деякі проекти також проводять регулярні сканування безпеки та оновлення.
Участь спільноти: через відкритий код та заохочення спільнотного рецензування збільшити можливості виявлення потенційних проблем.
Інцидент з атакою на Cetus нагадує нам, що в швидко розвиваючійся індустрії блокчейну безпека завжди є постійним викликом. Хоча аудит коду є важливим засобом забезпечення безпеки проекту, він не є безсумнівним. Команди проекту повинні вжити більш комплексних і постійних заходів безпеки, включаючи, але не обмежуючись, багаторазовими аудитами, програмами винагород за вразливості, регулярними оцінками безпеки тощо. У той же час, користувачі, беручи участь у будь-яких DeFi проектах, також повинні бути насторожі, усвідомлюючи потенційні ризики.
З розвитком технології блокчейн ми очікуємо побачити більше інноваційних рішень безпеки, щоб впоратися з дедалі складнішими викликами безпеки та забезпечити здоровий розвиток всієї екосистеми.