SUI Ecosystem DEX #Cetus Je Code Security Audit při napadení opravdu dostačující? Příčina a dopad útoku na společnost Cetus zatím nejsou jasné, ale nejprve se můžeme podívat na bezpečnostní audit kódu společnosti Cetus. Pro nezasvěcené nemůžeme pochopit konkrétní technologii, ale toto shrnutí auditu lze pochopit. ➤ Audit společnosti Certik Bezpečnostní audit společnosti Cetus společnosti Certik zjistil pouze 2 drobná rizika, která byla vyřešena. Dále je zde 9 informačních rizik, 6 vyřešených. Společnost Certik udělila celkové hodnocení 83,06 a skóre auditu kódu 96. ➤ Další zprávy o auditu od společnosti Cetus (SUI Chain) Na Githubu společnosti Cetus je uvedeno celkem 5 zpráv o auditu kódu, s výjimkou auditu společnosti Certik. Odhaduje se, že projektový tým také věděl, že audit společnosti Certik je formalitou, a proto tuto zprávu nezahrnul. Cetus podporuje řetězce Aptos i SUI a 5 zpráv o auditu pochází od společností MoveBit, OtterSec a Zellic. Mezi ně patří MoveBit a OtterSec, které auditují kód Cetusu v řetězcích Aptos a SUI, a Zellic by měl také auditovat kód v řetězci SUI. Protože to byl právě Cetus v řetězci SUI, který byl tentokrát napaden, podíváme se níže pouze na zprávu o auditu společnosti Cetus v řetězci SUI. ❚ Zpráva o auditu od společnosti MoveBit Zpráva byla nahrána na Github dne 2023-04-28 Pokud nerozumíme konkrétnímu obsahu auditu, můžeme najít tabulku, jako je tato, abychom viděli počet rizikových problémů uvedených ve zprávě na jednotlivých úrovních a jak dobře jsou vyřešeny. Auditní zpráva společnosti MoveBi o společnosti Cetust zjistila celkem 18 rizikových problémů, včetně 1 fatálního rizikového problému, 2 závažných rizikových problémů, 3 středně rizikových problémů a 12 mírných rizikových problémů, z nichž všechny byly vyřešeny. Existuje více problémů, než Certik našel, a společnost Cetus je všechny vyřešila. ❚ Zpráva o auditu od OtterSec Zpráva byla nahrána na Github dne 2023-05-12 Zpráva o auditu společnosti OtterSec týkající se společnosti Cetus zjistila celkem 1 vysoce rizikový problém, 1 středně rizikový problém a 7 informačních rizik a snímky obrazovky nebyly pořízeny, protože tabulka zpráv přímo neukazovala řešení problému s rizikem. Mezi nimi byly vyřešeny jak vysoce rizikové, tak středně rizikové problémy. Problémy s informačním rizikem, 2 vyřešené, 2 opravené záplaty odeslané a 3 další. Po hrubém studiu jsou to tyto 3: •Kód verzí Sui a Aptos je nekonzistentní, což může ovlivnit přesnost výpočtu ceny poolů likvidity. • Chybějící ověření pozastaveného stavu, žádné ověření, zda je pool likvidity v době swapu v pozastaveném stavu. Pokud je pool pozastaven, může být stále možné obchodovat. • Převeďte typ U256 na typ U64, pokud hodnota překročí MAX_U64 dojde k přetečení, což může vést k chybám výpočtu v případě velkých transakcí. Není jisté, zda útok souvisí s výše uvedenými problémy. ❚ Zpráva o auditu od společnosti Zellic Zpráva byla nahrána na Github v dubnu 2025 Zpráva o auditu společnosti Zellic týkající se společnosti Cetus identifikovala tři informační rizika, z nichž žádné nebylo opraveno: • Problém s autorizací funkce, který umožňuje komukoli zavolat a vložit poplatky na jakýkoli partnerský účet. Nezdá se to jako riskantní, jde o úsporu peněz, ne o výběr peněz. Takže Cetus to prozatím neopravil. • Existuje funkce, na kterou stále odkazuje zastaralá generace, a kód je nadbytečný, což se zdá být riskantní, ale kód není dostatečně normativní. • Jeden z problémů s vykreslováním uživatelského rozhraní v datech zobrazení NFT mohl být znakový, ale společnost Cetus použila složitější datový typ TypeName v jazyce Move. To není problém a je možné, že Cetus bude v budoucnu vyvíjet další funkce pro NFT. Celkově Zellic zjistil 3 dílčí problémy s ozonovou vrstvou, které jsou v zásadě bez rizika a patří do aspektu specifikace kódu. Musíme si vzpomenout na tyto tři auditory: MoveBit, OtterSec, Zellic. Protože většina auditorů na trhu je dobrá v auditech EVM, patří tito tři auditoři mezi auditory Move language code. ➤ Úroveň auditu a bezpečnosti (vezměte si jako příklad nový DEX) Za prvé, projekty, které nebyly auditovány kodexem, podléhají určitému riziku Rug. Koneckonců, není ani ochoten za tento audit zaplatit a pro lidi je těžké uvěřit, že má touhu fungovat po dlouhou dobu. Za druhé, Certik audit je vlastně jakýmsi "lidským auditem". Proč se jedná o "lidský audit", Certik velmi úzce spolupracuje s coinmarketcap. Na stránce projektu coinmarketcap je ikona auditu, která vás kliknutím přenese na navigační platformu Certik, skynet. coinmarketcap, jako platforma vlastněná Binance, nepřímo umožnila společnosti Certik navázat partnerství s Binance. Ve skutečnosti měly Binance a Certik vždy dobrý vztah, takže většina projektů, které chtějí být uvedeny na Binance, bude usilovat o audit Certik. Pokud tedy projekt usiluje o audit společnosti Certik, je pravděpodobné, že bude chtít být uveden na Binance. Historie však ukázala, že pravděpodobnost útoku na projekt auditovaný pouze Certikem není nízká, jako je například DEXX. Existují dokonce projekty, které byly FUG, jako je ZKasino. Certik má samozřejmě i další bezpečnostní pomoc, nejen audit kódu, Certik bude skenovat webové stránky, DNS atd., a existují i jiné bezpečnostní informace než audit kódu. Za třetí, mnoho projektů bude hledat 1~více než jednu další vysoce kvalitní auditorskou entitu k provádění auditů bezpečnosti kódu. Za čtvrté, kromě profesionálních auditů kódu budou některé projekty provádět také programy odměn za chyby a auditní soutěže za účelem brainstormingu a odstranění zranitelností. Protože se jedná o produkt DEX, vezměme si jako příklad některé novější DEX: --------------------------- ✦✦✦GMX V2 je audit kódu provedený 5 společnostmi, včetně abdk, certora, dedaub, guardian a sherlock, a spustil program odměn za jednu chybu až do výše 5 milionů dolarů. ✦✦✦DeGate, celkem 35 společností ze společností Secbit, Least Authority a Trail of Bits provedlo audity kódu a spustilo program odměn za jednu chybu až do výše 1,11 milionu dolarů. ✦✦✦DYDX V4 je bezpečnostní audit kódu provedený společností Informal Systems a byl spuštěn program odměn za jednu chybu až do výše 5 milionů dolarů. ✦✦✦HyperLiquid provádí bezpečnostní audity kódu společností HyperLiquid a spustil program odměn za jednu chybu až do výše 1 milionu dolarů. ✦✦UniversalX je auditován společností Certik a dalším odborným auditorem (oficiální zpráva o auditu byla dočasně odstraněna z regálů) ✦GMGN je speciální v tom, že nebyla nalezena žádná zpráva o auditu kódu, pouze jeden program odměn za chyby až do výše 10 000 $. ➤ Pište na konec Po přezkoumání auditů zabezpečení kódu těchto DEXů vidíme, že i DEXy jako Cetus, které jsou společně auditovány 3 auditory, jsou stále zranitelné vůči útokům. Multiagentní audity v kombinaci s programy odměn za zranitelnosti nebo auditorskými soutěžemi zajišťují relativně bezpečnou bezpečnost. U některých nových protokolů Defi však stále existují problémy s auditem kódu, které nebyly opraveny, a proto Brother Bee věnuje zvláštní pozornost auditu kódu nových protokolů Defi.