TVBee
TVBee
HUMA-2,34 %
CETUS-2,07 %
SOL-4,36 %
SUI-3,30 %
AAVE-4,46 %
CORE+0,65 %
DYDX-3,55 %
1INCH-3,05 %
SUSHI-4,85 %
MORPHO-3,49 %
PENDLE-5,14 %
SUI-Ökosystem DEX #Cetus wurde angegriffen. Ist die Code-Sicherheitsprüfung wirklich ausreichend? Die Gründe und Auswirkungen des Angriffs auf Cetus sind vorerst unklar. Lassen Sie uns zunächst die Sicherheitsprüfungen des Codes von Cetus betrachten. Als Laien können wir die spezifischen technischen Details nicht verstehen, aber diese Zusammenfassung der Prüfung ist verständlich. ➤ Certik-Prüfung Schauen wir uns an, dass Certik bei der Sicherheitsprüfung des Codes von Cetus nur 2 geringfügige Gefahren festgestellt hat, die bereits behoben wurden. Es gibt außerdem 9 informative Risiken, von denen 6 behoben wurden. Die von Certik gegebene Gesamtbewertung beträgt 83,06, die Bewertung der Codeprüfung liegt bei 96 Punkten. ➤ Weitere Prüfberichte von Cetus (SUI-Chain) Auf dem Github von Cetus sind insgesamt 5 Prüfberichte aufgeführt, wobei der Bericht von Certik nicht enthalten ist. Es wird geschätzt, dass das Projektteam auch weiß, dass die Prüfung von Certik eher formeller Natur ist, weshalb dieser Bericht nicht aufgenommen wurde. Cetus unterstützt sowohl die Aptos- als auch die SUI-Chain. Diese 5 Prüfberichte stammen von MoveBit, OtterSec und Zellic. MoveBit und OtterSec haben jeweils den Code von Cetus auf der Aptos- und SUI-Chain geprüft, während Zellic wahrscheinlich ebenfalls den Code auf der SUI-Chain geprüft hat. Da der Angriff auf Cetus auf der SUI-Chain stattfand, betrachten wir im Folgenden nur den Prüfbericht von Cetus auf der SUI-Chain. ❚ Prüfbericht von MoveBit Bericht hochgeladen auf Github am: 2023-04-28 Wenn wir die spezifischen Inhalte der Prüfung nicht verstehen, können wir eine solche Tabelle finden, um die Anzahl der Risiken auf verschiedenen Ebenen und deren Behebungsstatus zu sehen. Der Prüfbericht von MoveBit zu Cetus hat insgesamt 18 Risikoprobleme festgestellt, darunter 1 kritisches Risiko, 2 wesentliche Risiken, 3 moderate Risiken und 12 geringfügige Risiken, die alle behoben wurden. Das sind mehr Probleme als die, die Certik festgestellt hat, und Cetus hat diese Probleme alle behoben. ❚ Prüfbericht von OtterSec Bericht hochgeladen auf Github am: 2023-05-12 Der Prüfbericht von OtterSec zu Cetus hat insgesamt 1 hohes Risiko, 1 moderates Risiko und 7 informative Risiken festgestellt. Da die Tabelle im Bericht den Behebungsstatus der Risiken nicht direkt anzeigt, werde ich keinen Screenshot machen. Das hohe Risiko und das moderate Risiko wurden bereits behoben. Bei den informativen Risiken wurden 2 behoben, 2 haben einen Reparaturpatch eingereicht, und 3 sind noch offen. Nach einer groben Untersuchung sind diese 3: • Inkonsistenz zwischen den Versionen von Sui und Aptos, die die Genauigkeit der Preisberechnung im Liquiditätspool beeinträchtigen könnte. • Fehlende Validierung des Pausenzustands, bei Swap wird nicht überprüft, ob der Liquiditätspool pausiert ist. Wenn der Pool pausiert ist, könnte dennoch gehandelt werden. • Umwandlung des Typs u256 in u64, was zu Überläufen führen kann, wenn der Wert MAX_U64 überschreitet, was bei großen Transaktionen zu Berechnungsfehlern führen könnte. Es ist derzeit unklar, ob der Angriff mit diesen Problemen zusammenhängt. ❚ Prüfbericht von Zellic Bericht hochgeladen auf Github am: April 2025 Der Prüfbericht von Zellic zu Cetus hat insgesamt 3 informative Risiken festgestellt, die nicht behoben wurden: • Ein Funktionsautorisierungsproblem, das es jedem erlaubt, Gebühren auf jedes Partnerkonto einzuzahlen. Das scheint kein Risiko darzustellen, es ist eine Einzahlung, kein Abheben. Daher hat Cetus dies vorerst nicht behoben. • Es gibt eine veraltete Funktion, die weiterhin referenziert wird, was zu redundanten Codes führt. Das scheint kein Risiko darzustellen, ist jedoch nicht konform mit den Codierungsstandards. • Ein UI-Darstellungsproblem in den NFT-Anzeigedaten, das ursprünglich mit einem Zeichenformat hätte gelöst werden können, aber Cetus verwendete einen komplexeren Datentyp aus der Move-Sprache. Das ist kein großes Problem und möglicherweise wird Cetus in Zukunft weitere Funktionen für NFTs entwickeln. Insgesamt hat Zellic 3 Probleme im Bereich der Codierungsstandards festgestellt, die im Grunde kein Risiko darstellen. Wir sollten uns an diese drei Prüfstellen erinnern: MoveBit, OtterSec und Zellic. Denn die meisten Prüfstellen auf dem Markt sind auf EVM-Prüfungen spezialisiert, während diese drei Prüfstellen auf die Prüfung von Move-Code spezialisiert sind. ➤ Prüfung und Sicherheitsstufen (am Beispiel neuer DEX) Zunächst einmal gibt es bei Projekten, die nicht geprüft wurden, ein gewisses Rug-Risiko. Schließlich sind sie nicht bereit, auch nur für diese Prüfung zu bezahlen, was es schwer macht, an eine langfristige Geschäftsabsicht zu glauben. Zweitens ist die Certik-Prüfung eigentlich eine Art "Beziehungsprüfung". Warum nenne ich es "Beziehungsprüfung"? Certik hat eine sehr enge Zusammenarbeit mit CoinMarketCap. Auf der Projektseite von CoinMarketCap gibt es ein Prüfungs-Icon, das zu Certiks Navigationsplattform Skynet führt. CoinMarketCap, als Plattform von Binance, hat indirekt eine Partnerschaft zwischen Certik und Binance geschaffen. Tatsächlich ist die Beziehung zwischen Binance und Certik immer gut gewesen, weshalb die meisten Projekte, die auf Binance gelistet werden wollen, Certiks Prüfung anstreben. Wenn ein Projekt also eine Certik-Prüfung anstrebt, möchte es höchstwahrscheinlich auf Binance gelistet werden. Die Geschichte hat jedoch gezeigt, dass Projekte, die nur von Certik geprüft wurden, eine hohe Wahrscheinlichkeit haben, angegriffen zu werden, wie z.B. DEXX. Einige Projekte sind sogar bereits FUG gegangen, wie z.B. ZKasino. Natürlich bietet Certik auch andere Sicherheitsdienste an, nicht nur Codeprüfungen. Certik scannt auch Websites, DNS usw. und bietet einige Sicherheitsinformationen, die über die Codeprüfung hinausgehen. Drittens suchen viele Projekte 1 bis mehrere andere hochwertige Prüfstellen für die Code-Sicherheitsprüfung. Viertens führen einige Projekte neben professionellen Codeprüfungen auch Bug-Bounty-Programme und Prüfungswettbewerbe durch, um Ideen zu sammeln und Schwachstellen auszuschließen. Da in diesem Fall ein DEX-Produkt angegriffen wurde, betrachten wir einige neuere DEX als Beispiele: --------------------------- ✦✦✦ GMX V2, geprüft von 5 Unternehmen: abdk, certora, dedaub, guardian, sherlock, und bietet ein Bug-Bounty-Programm mit einer maximalen Belohnung von 5 Millionen USD an. ✦✦✦ DeGate, geprüft von 35 Unternehmen: Secbit, Least Authority, Trail of Bits, und bietet ein Bug-Bounty-Programm mit einer maximalen Belohnung von 1,11 Millionen USD an. ✦✦✦ DYDX V4, geprüft von Informal Systems, und bietet ein Bug-Bounty-Programm mit einer maximalen Belohnung von 5 Millionen USD an. ✦✦✦ hyperliquid, geprüft von hyperliquid, und bietet ein Bug-Bounty-Programm mit einer maximalen Belohnung von 1 Million USD an. ✦✦ UniversalX, geprüft von Certik und einer anderen spezialisierten Prüfstelle (der Bericht wurde vorübergehend entfernt). ✦ GMGN ist etwas besonders, da ich keinen Prüfbericht finden konnte, nur ein Bug-Bounty-Programm mit einer maximalen Belohnung von 10.000 USD. ➤ Abschließend Nach der Überprüfung der Code-Sicherheitsprüfungen dieser DEX können wir feststellen, dass selbst DEX wie Cetus, die von 3 Prüfstellen gemeinsam geprüft wurden, dennoch angegriffen werden können. Eine Prüfung durch mehrere Stellen, kombiniert mit Bug-Bounty-Programmen oder Prüfungswettbewerben, bietet relativ gute Sicherheitsgarantien. Für einige neue DeFi-Protokolle gibt es jedoch noch Probleme, die in den Codeprüfungen nicht behoben wurden. Das ist der Grund, warum die Bienenbrüder besonders auf die Codeprüfungen neuer DeFi-Protokolle achten.
Gallery 1
TVBee
TVBee
Wie sicher sind die DeFi-Projekte, bei denen die Leute verrückt danach sind, sich an ihren Geldern zu beteiligen? Sicherheit ist keine Kleinigkeit! Insbesondere bei DeFi/PayFi/RwaFi-Produkten, bei denen Benutzergelder eingezahlt oder autorisiert werden, steht die Sicherheit immer an erster und wichtigster Stelle. Ausgereifte DeFi-Produkte wie Uniswap, GMX und DyDx werden seit langem vom Markt (Hackern) getestet, und ihre Sicherheit ist relativ höher. Bei neuen DeFi-Anwendungen besteht jedoch ein höheres Maß an Unsicherheit. Aus diesem Grund werden neue DeFi-Produkte eine relativ höhere Rendite oder Airdrop-Rendite haben. Denn es ist ein Risikoausgleich für frühe Teilnehmer. Obwohl Code-Sicherheitsüberwachungen die Sicherheit nicht vollständig garantieren können, können sie die Sicherheit relativ gewährleisten. In diesem Artikel werfen wir einen Blick auf einige neue DeFi/PayFi/RwaFi-...... Sicherheitsmanagement, z. B. Code-Audit ähnlicher Produkte. ➤Huma @humafinance ❚ Projekteinführung Huma ist ein PayFi-Projekt, das auf dem Solana-Ökosystem und Stellar basiert und darauf abzielt, Zahlungen, Renditen und Finanzierungen auf der Blockchain neu zu erfinden. ❚ Ökologische Skala Derzeit liegt Huma vor dem TGE, und es gibt eine Obergrenze für die Höhe der Mittel für ökologische Beteiligung. Laut der offiziellen Website von Huma verfügt das Protokoll derzeit über eine aktive Gesamtliquidität von 104 Millionen US-Dollar und ein Handelsvolumen von insgesamt 4,3 Milliarden US-Dollar. ❚ Code-Auditor: Halborn Halborn wurde 2019 gegründet und hat den Code vieler ähnlicher Projekte wie Public Chains und DeFi geprüft, wie z. B.: Thorchain, Taiko, Core Chain, Story, Plume, Solayer, Zetachain, Avalanche, Persistenct, etc. ❚ Prüfbericht Dem Prüfungsbericht zufolge identifizierte Huma insgesamt 2 Probleme mit geringem Risiko, die behoben wurden. Es sind 2 Informationsrisiken bekannt. Es wurde kein mittleres oder höheres Risiko festgestellt. ❚ Bug Bounties und Sicherheitswettbewerbe Im Juli 2026 startete Huma ein Bug-Bounty-Programm in Höhe von 50.000 US-Dollar auf der Cantina-Plattform. Cantina ist eine 2023 gegründete Web3-Sicherheitsmarktplatzplattform, die Sicherheitsdienste wie Sicherheitswettbewerbe, Bug Bounties, Sicherheitsüberprüfungen und mehr anbietet. Bekannte Projekte wie Uniswap, Morpho, Pendle, PancakeSwap und andere haben Bug-Bounty-Programme oder Sicherheitswettbewerbe für sie gestartet.    ➤DefiApp @defidotapp ❚ Projekteinführung DefiApp ist eine aggregierte DeFi, die auf Chain-Abstraktion basiert, einschließlich Spot-Swaps, Perpetual Futures und Kreditanwendungen. ❚ Ökologische Skala Laut DeFilama hat DefiApp ein 24-Stunden-Gesamthandelsvolumen von 137,38 Millionen US-Dollar. Das höchste tägliche aggregierte Handelsvolumen betrug 225,76 Mio. $. ❚ Code-Auditoren Die DefiApp-Dokumentation zeigt, dass verschiedene Teile von verschiedenen Agenturen geprüft werden: ✦ Sektion Infrastruktur: Sela Sela ist ein Unternehmen für Cloud-Sicherheitsdienste, zu dessen Partnern Microsoft, Google, AWZ und Alibaba gehören. ✦ Bereich Webanwendung: Halborn ✦ Smart-Contract-Teil: Cantina ✦ Airdrop-Teil: pashov Die Pashov Audit Group ist ein Blockchain-Sicherheitsunternehmen, das Projekte wie DeFi, Gaming und Chain Split wie Sushi, 1inch, Aave, Ethena, Radiant und mehr geprüft hat. ❚ Prüfbericht Der Link zum Code-Audit-Bericht in der DefiApp-Dokumentation ist mit seinem Github verknüpft, aber der Link kann nicht geöffnet werden, und es ist kein Audit-Bericht auf seinem Github zu finden. Sie sind sich nicht sicher, ob Sie Ihr Audit noch nicht abgeschlossen haben? Oder wurde es noch nicht bei Github eingereicht? @defidotapp Auf den Webseiten der gelisteten Auditoren wurde nur der Auditbericht von paschov zu DefiApp, also die Prüfung des Airdrop-Teils, gefunden. Der Prüfbericht von Pashov zeigt, dass DefiApp einen Teil des Codes aus der Luft abgeworfen und insgesamt 1 hochriskante, 2 mittlere und 10 niedrige Risiken gefunden hat. Bis auf 2 wurden alle Probleme mit geringem Risiko behoben. ➤StandX @StandX_Official ❚ Projekteinführung Perpetual Futures DEX, von denen derzeit bekannt ist, dass sie Solana- und BSC-Chains unterstützen. ❚ Ökologische Skala Laut der offiziellen Website von StandX hat StandX 2297 Millionen $TVL, insgesamt 30.468 Transaktionen auf der Chain und 7.798 aktive Teilnehmer. ❚ Code-Auditoren Der Code von StandX besteht aus zwei Teilen, der EVM-Kette und der Solana-Kante, die alle von RigSec und WatchPug doppelt geprüft werden. RigSec ist ein Unternehmen, das sich auf die Sicherheit digitaler Vermögenswerte konzentriert, und sein Hauptmarkt liegt derzeit in Asien, und zu den geprüften Projekten gehört edgeX Exchange. WatchPug ist ein Blockchain-Sicherheitsprüfungsunternehmen, das sich auf die Code-Prüfung von DeFi-Protokollen, NFT-Projekten und Web3-Anwendungen konzentriert. Zu den geprüften Projekten gehören Equilibria Finance, Pensie und andere. ❚ Prüfbericht Der Solana- und EVM-Chaincode von StandX wurde von 2 Auditoren geprüft, und der Bericht zeigte, dass alle moderaten oder höheren Risiken berücksichtigt wurden. Es gibt mehrere risikoarme, informationsbezogene Risiken und Empfehlungen zur Codeoptimierung. ➤ Am Ende schreiben Insgesamt ist Huma etwas sicherer. Nicht nur ist die Risikostufe, die im Code-Audit-Bericht gefunden wird, niedriger, sondern das Bug-Bounty-Programm läuft auch schon seit fast einem Jahr. Dies könnte erklären, warum Huma jedes Mal, wenn Huma eine Ablagerung bildet, in weniger als 1 Stunde voll ist. Das Sicherheitsbewusstsein großer Fonds ist noch relativ hoch. Die 4 Prüfberichte von StandX zeigen, dass das Risikoniveau relativ niedrig ist und über moderat behoben wird. Die beiden Code-Audit-Unternehmen, die das Audit durchgeführt haben, sind jedoch relativ bekannt, und es besteht eine gewisse Unsicherheit über die Sicherheit von StandX. Was DefiApp betrifft, so ist es möglich, dass die Prüfungsspekulationen über andere Teile mit Ausnahme des Airdrop-Vertrags noch nicht abgeschlossen sind. Oder vielleicht ist die Prüfung abgeschlossen und das Team arbeitet an einer Lösung für das Problem. Und schließlich kann ein neues DeFi-Produkt, selbst wenn es ein Code-Sicherheitsaudit besteht, immer noch nicht sicher sein, dass es vollständig sicher ist. Erinnern Sie alle daran, vorsichtig zu sein, wenn sie an frühen Defi-Projekten teilnehmen, und seien Sie noch vorsichtiger im Betrieb!
Gallery 1
Gallery 2
Gallery 3
Gallery 4
Original anzeigen
Quelle:twitter
39
33.822
Der Inhalt dieser Seite wird von Dritten bereitgestellt. Sofern nicht anders angegeben, ist OKX nicht der Autor der zitierten Artikel und erhebt keinen Anspruch auf das Urheberrecht an den Materialien. Der Inhalt wird ausschließlich zu Informationszwecken bereitgestellt und gibt nicht die Ansichten von OKX wieder. Er stellt keine wie auch immer geartete Befürwortung dar und sollte nicht als Anlageberatung oder Aufforderung zum Kauf oder Verkauf digitaler Vermögenswerte betrachtet werden. Soweit generative KI zur Bereitstellung von Zusammenfassungen oder anderen Informationen verwendet wird, können solche KI-generierten Inhalte ungenau oder inkonsistent sein. Bitte lesen Sie den verlinkten Artikel für weitere Details und Informationen. OKX ist nicht verantwortlich für Inhalte, die auf Websites Dritter gehostet werden. Der Besitz digitaler Vermögenswerte, einschließlich Stablecoins und NFTs, ist mit einem hohen Risiko verbunden und kann starken Schwankungen unterliegen. Sie sollten sorgfältig abwägen, ob der Handel mit oder der Besitz von digitalen Vermögenswerten angesichts Ihrer finanziellen Situation für Sie geeignet ist.