El DEX de la ecosistema SUI ... | TVBee OKX Feed

El DEX de la ecosistema SUI #Cetus ha sido atacado, ¿es realmente suficiente una auditoría de seguridad del código? Las razones y el impacto del ataque a Cetus aún no están claros, pero podemos revisar la situación de la auditoría de seguridad del código de Cetus. Como no somos expertos, no podemos entender los detalles técnicos, pero este resumen de la auditoría es comprensible. ➤ Auditoría de Certik Veamos, Certik solo encontró 2 peligros menores en la auditoría de seguridad del código de Cetus, y ya han sido resueltos. También hay 9 riesgos informativos, de los cuales 6 han sido resueltos. La puntuación general que dio Certik es 83.06, y la puntuación de la auditoría del código es 96 puntos. ➤ Otros informes de auditoría de Cetus (cadena SUI) En el Github de Cetus se enumeran un total de 5 informes de auditoría de código, sin incluir la auditoría de Certik. Se estima que el equipo del proyecto también sabe que la auditoría de Certik es solo una formalidad, por lo que no incluyeron este informe. Cetus soporta tanto la cadena Aptos como la SUI, y estos 5 informes de auditoría provienen de MoveBit, OtterSec y Zellic. MoveBit y OtterSec auditaron el código de Cetus en las cadenas Aptos y SUI, respectivamente, y Zellic también auditó el código en la cadena SUI. Dado que el ataque ocurrió en Cetus en la cadena SUI, a continuación solo revisaremos el informe de auditoría de Cetus en la cadena SUI. ❚ Informe de auditoría de MoveBit Fecha de carga del informe en Github: 2023-04-28 Si no entendemos el contenido específico de la auditoría, podemos encontrar una tabla como esta, que muestra la cantidad de problemas de riesgo en diferentes niveles y su estado de resolución. El informe de auditoría de MoveBit sobre Cetus encontró un total de 18 problemas de riesgo, incluyendo 1 problema de riesgo crítico, 2 problemas de riesgo mayor, 3 problemas de riesgo moderado y 12 problemas de riesgo menor, todos ya resueltos. Esto es más que los problemas encontrados por Certik, y Cetus ha resuelto todos estos problemas. ❚ Informe de auditoría de OtterSec Fecha de carga del informe en Github: 2023-05-12 El informe de auditoría de OtterSec sobre Cetus encontró 1 problema de alto riesgo, 1 problema de riesgo moderado y 7 riesgos informativos. Como la tabla del informe no muestra directamente el estado de resolución de los problemas de riesgo, no se incluirá una captura de pantalla. De estos, el problema de alto riesgo y el problema de riesgo moderado ya han sido resueltos. En cuanto a los problemas de riesgo informativo, 2 han sido resueltos, 2 han recibido parches de reparación y quedan 3. Tras investigar un poco, estos 3 son: • Inconsistencia en el código entre las versiones de Sui y Aptos, lo que podría afectar la precisión del cálculo de precios en el pool de liquidez. • Falta de verificación del estado de pausa, ya que no se verifica si el pool de liquidez está en estado de pausa al realizar un Swap. Si el pool está pausado, aún podría ser posible realizar transacciones. • Conversión del tipo u256 a u64, lo que podría causar un desbordamiento si el valor supera MAX_U64, lo que podría llevar a errores de cálculo en transacciones grandes. Ahora no está claro si el ataque está relacionado con estos problemas. ❚ Informe de auditoría de Zellic Fecha de carga del informe en Github: abril de 2025 El informe de auditoría de Zellic sobre Cetus encontró 3 riesgos informativos, ninguno de los cuales ha sido reparado: • Un problema de autorización de función que permite a cualquier persona llamar a la función para depositar tarifas en cualquier cuenta de socio. Esto parece no tener mucho riesgo, ya que es para depositar dinero, no para retirarlo. Por lo tanto, Cetus no ha considerado necesario repararlo por el momento. • Existe una función obsoleta que aún se está referenciando, lo que genera redundancia en el código, pero parece no tener mucho riesgo, solo que la normativa del código no es suficiente. • Un problema de presentación de UI en los datos de visualización de NFT, que podría haberse hecho con un tipo de carácter, pero Cetus utilizó un tipo de datos más complejo de TypeName en el lenguaje Move. Esto no es un gran problema y podría ser que Cetus desarrolle otras funciones para los NFT en el futuro. En general, Zellic encontró 3 problemas menores, que básicamente no representan un riesgo, y pertenecen más a la normativa del código. Debemos recordar estas tres agencias de auditoría: MoveBit, OtterSec y Zellic. Porque la mayoría de las agencias de auditoría en el mercado son expertas en auditorías de EVM, estas tres son agencias de auditoría de código en el lenguaje Move. ➤ Auditoría y niveles de seguridad (tomando como ejemplo nuevos DEX) Primero, los proyectos que no han sido auditados tienen un cierto riesgo de Rug. Después de todo, si ni siquiera están dispuestos a pagar por una auditoría, es difícil creer que tengan la intención de operar a largo plazo. En segundo lugar, la auditoría de Certik es en realidad una forma de "auditoría por relaciones". ¿Por qué se dice que es una "auditoría por relaciones"? Porque Certik tiene una colaboración muy estrecha con CoinMarketCap. En la página del proyecto de CoinMarketCap hay un ícono de auditoría, que al hacer clic te lleva a la plataforma de navegación de Certik, Skynet. CoinMarketCap, como plataforma bajo Binance, indirectamente establece una relación de colaboración entre Certik y Binance. De hecho, la relación entre Binance y Certik siempre ha sido buena, por lo que la mayoría de los proyectos que desean ser listados en Binance buscarán la auditoría de Certik. Así que si un proyecto busca la auditoría de Certik, es muy probable que quiera ser listado en Binance. Sin embargo, la historia ha demostrado que los proyectos auditados solo por Certik tienen una probabilidad no baja de ser atacados, como DEXX. Incluso hay proyectos que ya han FUGado, como ZKasino. Por supuesto, Certik también ofrece otras formas de ayuda en términos de seguridad, no solo auditorías de código, sino que también escanean sitios web, DNS, y proporcionan información de seguridad más allá de la auditoría de código. En tercer lugar, muchos proyectos buscarán una o más agencias de auditoría de calidad para realizar auditorías de seguridad del código. En cuarto lugar, además de auditorías de código profesionales, algunos proyectos también llevarán a cabo programas de recompensas por vulnerabilidades y competiciones de auditoría, para recopilar ideas y eliminar vulnerabilidades. Dado que el producto atacado es un DEX, tomaremos como ejemplo algunos DEX más nuevos: --------------------------- ✦✦✦ GMX V2, auditado por 5 empresas: abdk, certora, dedaub, guardian, sherlock, y lanzó un programa de recompensas por vulnerabilidades de hasta 5 millones de dólares. ✦✦✦ DeGate, auditado por 35 empresas: Secbit, Least Authority, Trail of Bits, y lanzó un programa de recompensas por vulnerabilidades de hasta 1.11 millones de dólares. ✦✦✦ DYDX V4, auditado por Informal Systems, y lanzó un programa de recompensas por vulnerabilidades de hasta 5 millones de dólares. ✦✦✦ hyperliquid, auditado por hyperliquid, y lanzó un programa de recompensas por vulnerabilidades de hasta 1 millón de dólares. ✦✦ UniversalX, auditado por Certik y otra agencia de auditoría experta (el informe de auditoría ha sido retirado temporalmente). ✦ GMGN es un caso especial, no se encontró el informe de auditoría, solo tiene un programa de recompensas por vulnerabilidades de hasta 10 mil dólares. ➤ Reflexiones finales Al revisar la situación de las auditorías de seguridad del código de estos DEX, podemos ver que incluso un DEX como Cetus, auditado por 3 agencias, aún puede ser atacado. La auditoría de múltiples entidades, junto con programas de recompensas por vulnerabilidades o competiciones de auditoría, ofrece una seguridad relativamente garantizada. Sin embargo, para algunos nuevos protocolos DeFi, aún hay problemas no resueltos en las auditorías de código, y esta es la razón por la que el hermano Bee presta especial atención a la situación de las auditorías de código de los nuevos protocolos DeFi.

¿Qué tan seguros son los proyectos DeFi que la gente está loca por involucrar en sus fondos? ¡La seguridad no es un asunto menor! Especialmente en el caso de los productos DeFi/PayFi/RwaFi, en los que se depositan o autorizan los fondos de los usuarios, la seguridad es siempre lo primero y lo más importante. Los productos DeFi maduros como Uniswap, GMX y DyDx han sido probados por el mercado (piratas informáticos) durante mucho tiempo y su seguridad es relativamente mayor. Sin embargo, existe un mayor nivel de incertidumbre en las nuevas aplicaciones DeFi. Es por eso que los nuevos productos DeFi tendrán un rendimiento o retorno de airdrop relativamente mayor. Porque es una compensación de riesgo para los primeros participantes. Aunque las auditorías de seguridad del código no pueden garantizar completamente su seguridad, pueden garantizar relativamente la seguridad. En este artículo, echaremos un vistazo a varios nuevos ...... DeFi/PayFi/RwaFi Gestión de la seguridad, como la auditoría de código de productos similares. ➤Huma @humafinance ❚ Introducción al proyecto Huma es un proyecto de PayFi basado en el ecosistema Solana y Stellar, que tiene como objetivo reinventar los pagos, los rendimientos y la financiación en la cadena de bloques. ❚ Escala ecológica En la actualidad, Huma está por delante del TGE, y hay un límite en el tamaño de los fondos para la participación ecológica. Según el sitio web oficial de Huma, el protocolo tiene actualmente una liquidez activa total de USD 104 millones y un volumen total de operaciones de USD 4.3 mil millones. ❚ Auditor de códigos: Halborn Fundada en 2019, Halborn ha auditado el código de muchos proyectos similares como cadenas públicas y DeFi, como: Thorchain, Taiko, Core Chain, Story, Plume, Solayer, Zetachain, Avalanche, Persistenct, etc. ❚ Informe de auditoría Según el informe de auditoría, Huma identificó un total de 2 problemas de bajo riesgo que se han resuelto. Se conocen 2 riesgos informativos. No se identificó riesgo moderado o alto. ❚ Recompensas por errores y concursos de seguridad En julio de 2026, Huma lanzó un programa de recompensas por errores de 50.000 dólares en la plataforma de la cantina. Cantina es una plataforma de mercado de seguridad Web3 fundada en 2023 que ofrece servicios de seguridad como concursos de seguridad, recompensas por errores, revisiones de seguridad y más. Proyectos conocidos como Uniswap, Morpho, Pendle, PancakeSwap y otros han lanzado programas de recompensas por errores o concursos de seguridad sobre ellos. ➤DefiApp @defidotapp ❚ Introducción al proyecto DefiApp es una DeFi agregada basada en la abstracción de la cadena, que incluye swaps al contado, futuros perpetuos y aplicaciones de préstamos. ❚ Escala ecológica Según DeFillama, DefiApp tiene un volumen de operaciones agregado de 24 horas de 137,38 millones de dólares. El mayor volumen de operaciones agregado diario fue de 225,76 millones de dólares. ❚ Auditores de códigos La documentación de DefiApp muestra que diferentes partes son auditadas por diferentes agencias: ✦ Sección de Infraestructura: Sela Sela es una organización de servicios de seguridad en la nube cuyos socios incluyen Microsoft, Google, AWZ y Alibaba. ✦ Sección de Aplicación Web: Halborn ✦ Parte del contrato inteligente: Cantina ✦ Parte del lanzamiento aéreo: pashov Pashov Audit Group es una empresa de seguridad blockchain que ha auditado proyectos como DeFi, Gaming y Chain Split, como Sushi, 1inch, Aave, Ethena, Radiant y más. ❚ Informe de auditoría El enlace del informe de auditoría de código en la documentación de DefiApp está vinculado a su Github, pero el enlace no se puede abrir y no se puede encontrar ningún informe de auditoría en su Github. ¿No está seguro si aún no ha completado su auditoría? ¿O aún no se ha enviado a Github? @defidotapp En los sitios web de los auditores enumerados, solo se encontró el informe de auditoría de Pashov sobre DefiApp, es decir, la auditoría de la parte del airdrop. El informe de auditoría de Pashov muestra que DefiApp lanzó desde el aire parte del código y encontró un total de 1 de alto riesgo, 2 de riesgo medio y 10 de bajo riesgo. Se resolvieron todos los problemas, excepto 2 de bajo riesgo. ➤StandX @StandX_Official ❚ Introducción al proyecto DEX de futuros perpetuos, actualmente conocido por admitir las cadenas Solana y BSC. ❚ Escala ecológica Según el sitio web oficial de StandX, StandX tiene $TVL 2297 millones, un total de 30.468 transacciones en la cadena y 7.798 participantes activos. ❚ Auditores de códigos El código de StandX consta de dos partes, la cadena EVM y el borde de Solana, todas ellas auditadas dos veces por RigSec y WatchPug. RigSec es una empresa centrada en la seguridad de activos digitales, y su principal mercado se encuentra actualmente en Asia, y entre sus proyectos auditados se encuentra edgeX Exchange. WatchPug es una empresa de auditoría de seguridad blockchain centrada en la auditoría de código de protocolos DeFi, proyectos NFT y aplicaciones Web3. Los proyectos auditados incluyen Equilibria Finance, Penpie y otros. ❚ Informe de auditoría El código de cadena solana y EVM de StandX fue auditado por 2 auditores, y el informe mostró que se abordaron todos los riesgos moderados o altos. Hay varias recomendaciones de optimización de código, riesgos informativos y riesgos de bajo riesgo. ➤ Escribe al final En general, Huma es un poco más seguro. No solo es menor el nivel de riesgo encontrado en el informe de auditoría de código, sino que el programa de recompensas por errores ha estado funcionando durante casi un año. Esto puede explicar por qué Huma se llena en menos de 1 hora cada vez que Huma desarrolla un depósito. La concienciación sobre la seguridad de los grandes fondos sigue siendo relativamente alta. Los 4 informes de auditoría de StandX muestran que el nivel de riesgo es relativamente bajo y por encima del moderado se resuelve. Sin embargo, las dos empresas de auditoría de código que llevaron a cabo la auditoría son relativamente conocidas y existe cierta incertidumbre sobre la seguridad de StandX. En cuanto a DefiApp, es posible que la especulación de auditoría de otras partes, excepto el contrato de airdrop, aún no se haya completado. O tal vez la auditoría se haya completado y el equipo esté trabajando en una solución para el problema. Finalmente, para un nuevo producto DeFi, incluso si pasa una auditoría de seguridad de código, todavía no puede estar seguro de que sea completamente seguro. Recuerde a todos que deben ser cautelosos al participar en los primeros proyectos de Defi, ¡y ser aún más cautelosos en la operación!

34,53 mil

El contenido de esta página lo proporcionan terceros. A menos que se indique lo contrario, OKX no es el autor de los artículos citados y no reclama ningún derecho de autor sobre los materiales. El contenido se proporciona únicamente con fines informativos y no representa las opiniones de OKX. No pretende ser un respaldo de ningún tipo y no debe ser considerado como un consejo de inversión o una solicitud para comprar o vender activos digitales. En la medida en que la IA generativa se utiliza para proporcionar resúmenes u otra información, dicho contenido generado por IA puede ser inexacto o incoherente. Lee el artículo vinculado para obtener más detalles e información. OKX no es responsable del contenido alojado en sitios de terceros. El holding de activos digitales, incluyendo stablecoins y NFT, implican un alto grado de riesgo y pueden fluctuar en gran medida. Debes considerar cuidadosamente si el trading o holding de activos digitales es adecuado para ti a la luz de tu situación financiera.