Cetus遭受攻击事件引发对代码安全审计的反思

近期，SUI生态中的去中心化交易所Cetus遭受攻击，引发了业内对代码安全审计重要性的广泛讨论。尽管Cetus已经进行了多轮安全审计，但仍未能避免此次攻击事件的发生，这不禁让人质疑：代码安全审计是否真的足够？

回顾Cetus的审计情况，我们发现该项目曾接受多家知名机构的审计。某知名审计机构对Cetus的代码进行了全面检查，仅发现2个轻度风险和9个信息性风险，大部分已得到解决。该机构给出的综合评分为83.06分，代码审计评分高达96分。

除此之外，Cetus还公开了来自MoveBit、OtterSec和Zellic等专业机构的5份审计报告。以SUI链上的代码审计为例：

MoveBit的报告指出共发现18个风险问题，包括1个致命风险、2个主要风险、3个中度风险和12个轻度风险，所有问题均已解决。

OtterSec的报告则发现1个高风险问题、1个中度风险问题和7个信息性风险。高风险和中度风险问题已解决，部分信息性风险仍在处理中。

Zellic的审计报告发现3个信息性风险，主要涉及代码规范性方面，风险级别较低。

值得注意的是，MoveBit、OtterSec和Zellic都是专门从事Move语言代码审计的机构，这对于SUI等新兴公链生态尤为重要。

然而，即便经过多轮专业审计，Cetus仍然遭受了攻击。这一事件再次提醒我们，仅仅依靠代码审计可能还不够。在DeFi领域，越来越多的项目开始采取多重安全措施：

1. 多家机构联合审计：如GMX V2由5家公司共同审计，DeGate更是有35家公司参与。

2. 高额漏洞赏金计划：GMX V2和DYDX V4等项目推出了单项最高500万美元的赏金计划。

3. 持续的安全监控：除了初始审计，一些项目还会进行定期的安全扫描和更新。

4. 社区参与：通过开源代码和鼓励社区审查，增加发现潜在问题的机会。

Cetus遭受攻击的事件提醒我们，在快速发展的区块链行业中，安全永远是一个持续性的挑战。尽管代码审计是保障项目安全的重要手段，但它并非万无一失。项目方需要采取更全面、持续的安全策略，包括但不限于多方审计、漏洞赏金计划、定期安全评估等。同时，用户在参与任何DeFi项目时也应保持警惕，了解潜在风险。

随着区块链技术的不断演进，我们期待看到更多创新的安全解决方案出现，以应对日益复杂的安全挑战，为整个生态系统的健康发展保驾护航。