SUI Ecosystem DEX #Cetus Je ... | TVBee OKX Feed

SUI Ecosystem DEX #Cetus Je Code Security Audit při napadení opravdu dostačující? Příčina a dopad útoku na společnost Cetus zatím nejsou jasné, ale nejprve se můžeme podívat na bezpečnostní audit kódu společnosti Cetus. Pro nezasvěcené nemůžeme pochopit konkrétní technologii, ale toto shrnutí auditu lze pochopit. ➤ Audit společnosti Certik Bezpečnostní audit společnosti Cetus společnosti Certik zjistil pouze 2 drobná rizika, která byla vyřešena. Dále je zde 9 informačních rizik, 6 vyřešených. Společnost Certik udělila celkové hodnocení 83,06 a skóre auditu kódu 96. ➤ Další zprávy o auditu od společnosti Cetus (SUI Chain) Na Githubu společnosti Cetus je uvedeno celkem 5 zpráv o auditu kódu, s výjimkou auditu společnosti Certik. Odhaduje se, že projektový tým také věděl, že audit společnosti Certik je formalitou, a proto tuto zprávu nezahrnul. Cetus podporuje řetězce Aptos i SUI a 5 zpráv o auditu pochází od společností MoveBit, OtterSec a Zellic. Mezi ně patří MoveBit a OtterSec, které auditují kód Cetusu v řetězcích Aptos a SUI, a Zellic by měl také auditovat kód v řetězci SUI. Protože to byl právě Cetus v řetězci SUI, který byl tentokrát napaden, podíváme se níže pouze na zprávu o auditu společnosti Cetus v řetězci SUI. ❚ Zpráva o auditu od společnosti MoveBit Zpráva byla nahrána na Github dne 2023-04-28 Pokud nerozumíme konkrétnímu obsahu auditu, můžeme najít tabulku, jako je tato, abychom viděli počet rizikových problémů uvedených ve zprávě na jednotlivých úrovních a jak dobře jsou vyřešeny. Auditní zpráva společnosti MoveBi o společnosti Cetust zjistila celkem 18 rizikových problémů, včetně 1 fatálního rizikového problému, 2 závažných rizikových problémů, 3 středně rizikových problémů a 12 mírných rizikových problémů, z nichž všechny byly vyřešeny. Existuje více problémů, než Certik našel, a společnost Cetus je všechny vyřešila. ❚ Zpráva o auditu od OtterSec Zpráva byla nahrána na Github dne 2023-05-12 Zpráva o auditu společnosti OtterSec týkající se společnosti Cetus zjistila celkem 1 vysoce rizikový problém, 1 středně rizikový problém a 7 informačních rizik a snímky obrazovky nebyly pořízeny, protože tabulka zpráv přímo neukazovala řešení problému s rizikem. Mezi nimi byly vyřešeny jak vysoce rizikové, tak středně rizikové problémy. Problémy s informačním rizikem, 2 vyřešené, 2 opravené záplaty odeslané a 3 další. Po hrubém studiu jsou to tyto 3: •Kód verzí Sui a Aptos je nekonzistentní, což může ovlivnit přesnost výpočtu ceny poolů likvidity. • Chybějící ověření pozastaveného stavu, žádné ověření, zda je pool likvidity v době swapu v pozastaveném stavu. Pokud je pool pozastaven, může být stále možné obchodovat. • Převeďte typ U256 na typ U64, pokud hodnota překročí MAX_U64 dojde k přetečení, což může vést k chybám výpočtu v případě velkých transakcí. Není jisté, zda útok souvisí s výše uvedenými problémy. ❚ Zpráva o auditu od společnosti Zellic Zpráva byla nahrána na Github v dubnu 2025 Zpráva o auditu společnosti Zellic týkající se společnosti Cetus identifikovala tři informační rizika, z nichž žádné nebylo opraveno: • Problém s autorizací funkce, který umožňuje komukoli zavolat a vložit poplatky na jakýkoli partnerský účet. Nezdá se to jako riskantní, jde o úsporu peněz, ne o výběr peněz. Takže Cetus to prozatím neopravil. • Existuje funkce, na kterou stále odkazuje zastaralá generace, a kód je nadbytečný, což se zdá být riskantní, ale kód není dostatečně normativní. • Jeden z problémů s vykreslováním uživatelského rozhraní v datech zobrazení NFT mohl být znakový, ale společnost Cetus použila složitější datový typ TypeName v jazyce Move. To není problém a je možné, že Cetus bude v budoucnu vyvíjet další funkce pro NFT. Celkově Zellic zjistil 3 dílčí problémy s ozonovou vrstvou, které jsou v zásadě bez rizika a patří do aspektu specifikace kódu. Musíme si vzpomenout na tyto tři auditory: MoveBit, OtterSec, Zellic. Protože většina auditorů na trhu je dobrá v auditech EVM, patří tito tři auditoři mezi auditory Move language code. ➤ Úroveň auditu a bezpečnosti (vezměte si jako příklad nový DEX) Za prvé, projekty, které nebyly auditovány kodexem, podléhají určitému riziku Rug. Koneckonců, není ani ochoten za tento audit zaplatit a pro lidi je těžké uvěřit, že má touhu fungovat po dlouhou dobu. Za druhé, Certik audit je vlastně jakýmsi "lidským auditem". Proč se jedná o "lidský audit", Certik velmi úzce spolupracuje s coinmarketcap. Na stránce projektu coinmarketcap je ikona auditu, která vás kliknutím přenese na navigační platformu Certik, skynet. coinmarketcap, jako platforma vlastněná Binance, nepřímo umožnila společnosti Certik navázat partnerství s Binance. Ve skutečnosti měly Binance a Certik vždy dobrý vztah, takže většina projektů, které chtějí být uvedeny na Binance, bude usilovat o audit Certik. Pokud tedy projekt usiluje o audit společnosti Certik, je pravděpodobné, že bude chtít být uveden na Binance. Historie však ukázala, že pravděpodobnost útoku na projekt auditovaný pouze Certikem není nízká, jako je například DEXX. Existují dokonce projekty, které byly FUG, jako je ZKasino. Certik má samozřejmě i další bezpečnostní pomoc, nejen audit kódu, Certik bude skenovat webové stránky, DNS atd., a existují i jiné bezpečnostní informace než audit kódu. Za třetí, mnoho projektů bude hledat 1~více než jednu další vysoce kvalitní auditorskou entitu k provádění auditů bezpečnosti kódu. Za čtvrté, kromě profesionálních auditů kódu budou některé projekty provádět také programy odměn za chyby a auditní soutěže za účelem brainstormingu a odstranění zranitelností. Protože se jedná o produkt DEX, vezměme si jako příklad některé novější DEX: --------------------------- ✦✦✦GMX V2 je audit kódu provedený 5 společnostmi, včetně abdk, certora, dedaub, guardian a sherlock, a spustil program odměn za jednu chybu až do výše 5 milionů dolarů. ✦✦✦DeGate, celkem 35 společností ze společností Secbit, Least Authority a Trail of Bits provedlo audity kódu a spustilo program odměn za jednu chybu až do výše 1,11 milionu dolarů. ✦✦✦DYDX V4 je bezpečnostní audit kódu provedený společností Informal Systems a byl spuštěn program odměn za jednu chybu až do výše 5 milionů dolarů. ✦✦✦HyperLiquid provádí bezpečnostní audity kódu společností HyperLiquid a spustil program odměn za jednu chybu až do výše 1 milionu dolarů. ✦✦UniversalX je auditován společností Certik a dalším odborným auditorem (oficiální zpráva o auditu byla dočasně odstraněna z regálů) ✦GMGN je speciální v tom, že nebyla nalezena žádná zpráva o auditu kódu, pouze jeden program odměn za chyby až do výše 10 000 $. ➤ Pište na konec Po přezkoumání auditů zabezpečení kódu těchto DEXů vidíme, že i DEXy jako Cetus, které jsou společně auditovány 3 auditory, jsou stále zranitelné vůči útokům. Multiagentní audity v kombinaci s programy odměn za zranitelnosti nebo auditorskými soutěžemi zajišťují relativně bezpečnou bezpečnost. U některých nových protokolů Defi však stále existují problémy s auditem kódu, které nebyly opraveny, a proto Brother Bee věnuje zvláštní pozornost auditu kódu nových protokolů Defi.

Jak bezpečné jsou projekty DeFi, že se lidé bláznivě zapojují do svých fondů? Bezpečnost není žádná maličkost! Zejména u produktů DeFi/PayFi/RwaFi, kde jsou prostředky uživatelů ukládány nebo autorizovány, je bezpečnost vždy na prvním a nejdůležitějším místě. Vyspělé produkty DeFi jako Uniswap, GMX a DyDx jsou dlouhodobě testovány trhem (hackery) a jejich zabezpečení je relativně vyšší. U nových aplikací DeFi však panuje vyšší míra nejistoty. Proto budou mít nové produkty DeFi relativně vyšší výnos nebo výnos z airdropu. Protože je to kompenzace rizika pro první účastníky. Bezpečnostní audity kódu sice nemohou plně zaručit jeho bezpečnost, ale mohou zajistit jeho relativně bezpečnost. V tomto článku se podíváme na několik nových DeFi/PayFi/RwaFi ...... Řízení bezpečnosti, jako je audit kódu podobných produktů. ➤ Huma @humafinance ❚ Představení projektu Huma je projekt PayFi založený na ekosystému Solana a Stellar, jehož cílem je přetvořit platby, výnosy a financování na blockchainu. ❚ Ekologická stupnice V současné době je Huma před TGE a existuje limit na velikost finančních prostředků pro ekologickou participaci. Podle oficiálních webových stránek společnosti Huma má protokol v současné době celkovou aktivní likviditu 104 milionů USD a celkový objem obchodů 4,3 miliardy USD. ❚ Auditor kódu: Halborn Společnost Halborn, založená v roce 2019, auditovala kód mnoha podobných projektů, jako jsou veřejné řetězce a DeFi, jako jsou: Thorchain, Taiko, Core Chain, Story, Plume, Solayer, Zetachain, Avalanche, Persistenct atd. ❚ Zpráva o auditu Podle zprávy o auditu společnost Huma identifikovala celkem 2 problémy s nízkým rizikem, které byly vyřešeny. 2 informační rizika jsou známa. Nebylo zjištěno žádné střední nebo vyšší riziko. ❚ Odměny za chyby a bezpečnostní soutěže V červenci 2026 spustila společnost Huma na platformě cantina program odměn za chyby v hodnotě 50 000 dolarů. Cantina je platforma Web3 pro bezpečnostní tržiště založená v roce 2023, která nabízí bezpečnostní služby, jako jsou bezpečnostní soutěže, odměny za chyby, bezpečnostní recenze a další. Známé projekty jako Uniswap, Morpho, Pendle, PancakeSwap a další na nich spustily programy odměn za chyby nebo bezpečnostní soutěže. ➤ DefiApp @defidotapp ❚ Představení projektu DefiApp je agregované DeFi založené na řetězcové abstrakci, včetně spotových swapů, věčných futures a úvěrových aplikací. ❚ Ekologická stupnice Podle DeFillamy má DefiApp 24hodinový souhrnný objem obchodů 137,38 milionu USD. Nejvyšší denní souhrnný objem obchodů činil 225,76 milionu USD. ❚ Auditoři kódu Dokumentace DefiApp ukazuje, že různé části jsou auditovány různými agenturami: ✦ Sekce infrastruktury: Sela Sela je organizace poskytující služby zabezpečení cloudu, mezi jejíž partnery patří Microsoft, Google, AWZ a Alibaba. ✦ Sekce webové aplikace: Halborn ✦ Část chytré smlouvy: Cantina ✦ Část výsadku: pašov Pashov Audit Group je blockchainová bezpečnostní společnost, která auditovala projekty jako DeFi, Gaming a Chain Split, jako jsou Sushi, 1inch, Aave, Ethena, Radiant a další. ❚ Zpráva o auditu Odkaz na zprávu o auditu kódu v dokumentaci DefiApp je propojen s jeho Githubem, ale odkaz nelze otevřít a na jeho Githubu nelze nalézt žádnou zprávu o auditu. Nejste si jisti, zda jste ještě nedokončili audit? Nebo ještě nebyl odeslán na Github? @defidotapp Na webových stránkách uvedených auditorů byla nalezena pouze pašovova zpráva o auditu DefiApp, tedy audit části výsadku. Pašovova zpráva o auditu ukazuje, že DefiApp vypustil část kódu a našel celkem 1 vysoce rizikový, 2 středně rizikové a 10 nízkorizikové. Všechny problémy s nízkým rizikem kromě 2 byly vyřešeny. ➤ StojanX @StandX_Official ❚ Představení projektu Perpetual futures DEX, v současné době známý podporou řetězců Solana a BSC. ❚ Ekologická stupnice Podle oficiálních stránek StandX má StandX 2297 milionů $TVL, celkem 30 468 transakcí v řetězci a 7 798 aktivních účastníků. ❚ Auditoři kódu Kód StandX se skládá ze dvou částí, řetězce EVM a hrany Solana, z nichž všechny jsou dvakrát auditovány RigSec a WatchPug. RigSec je společnost zaměřená na bezpečnost digitálních aktiv a její hlavní trh je v současné době v Asii a mezi její auditované projekty patří edgeX Exchange. WatchPug je společnost zabývající se auditem bezpečnosti blockchainu zaměřená na auditování kódu protokolů DeFi, projektů NFT a aplikací Web3. Mezi auditované projekty patří například Equilibria Finance, Penpie a další. ❚ Zpráva o auditu Chaincode solana a EVM společnosti StandX byly auditovány 2 auditory a zpráva ukázala, že byla řešena všechna střední nebo vyšší rizika. Existuje několik doporučení pro informační rizika a optimalizaci kódu s nízkým rizikem. ➤ Pište na konec Celkově je Huma o něco bezpečnější. Nejenže je úroveň rizika uvedená ve zprávě o auditu kódu nižší, ale program odměn za chyby běží již téměř jeden rok. To může vysvětlovat, proč se Huma naplní za méně než 1 hodinu pokaždé, když Huma vytvoří ložisko. Povědomí o bezpečnosti velkých fondů je stále poměrně vysoké. 4 zprávy o auditu společnosti StandX ukazují, že úroveň rizika je relativně nízká a je vyřešena nad mírnou. Dvě společnosti zabývající se auditem kódu, které audit provedly, jsou však poměrně známé a ohledně bezpečnosti StandX panuje určitá nejistota. Co se týče DefiAppu, je možné, že spekulace o auditu dalších částí kromě airdropové smlouvy ještě nemusí být dokončeny. Nebo je možné, že audit byl dokončen a tým pracuje na opravě problému. A konečně, u nového produktu DeFi, i když projde bezpečnostním auditem kódu, si stále nemůže být jistý, že je plně bezpečný. Připomeňte všem, aby byli opatrní při účasti na raných projektech Defi a ještě opatrnější byli v provozu!

33,6 tis.

Obsah na této stránce poskytují třetí strany. Není-li uvedeno jinak, společnost OKX není autorem těchto informací a nenárokuje si u těchto materiálů žádná autorská práva. Obsah je poskytován pouze pro informativní účely a nevyjadřuje názory společnosti OKX. Nejedná se o doporučení jakéhokoli druhu a nemělo by být považováno za investiční poradenství ani nabádání k nákupu nebo prodeji digitálních aktiv. Tam, kde se k poskytování souhrnů a dalších informací používá generativní AI, může být vygenerovaný obsah nepřesný nebo nekonzistentní. Další podrobnosti a informace naleznete v připojeném článku. Společnost OKX neodpovídá za obsah, jehož hostitelem jsou externí weby. Držená digitální aktiva, včetně stablecoinů a tokenů NFT, zahrnují vysokou míru rizika a mohou značně kolísat. Měli byste pečlivě zvážit, zde je pro vás obchodování s digitálními aktivy nebo jejich držení vhodné z hlediska vaší finanční situace.