SUI Ecosystem DEX #Cetus ¿Es realmente suficiente la auditoría de seguridad del código cuando se ataca? La causa y el impacto del ataque en Cetus aún no están claros, pero primero podemos echar un vistazo a la auditoría de seguridad del código de Cetus. Para los no iniciados, no podemos entender la tecnología específica, pero este resumen de auditoría se puede entender. ➤ Auditoría de Certik La auditoría de seguridad del código de Cetus de Certik encontró solo 2 peligros menores que se resolvieron. También hay 9 riesgos informativos, 6 resueltos. Certik otorgó una calificación general de 83.06 y una puntuación de auditoría de código de 96. ➤ Otros informes de auditoría de Cetus (SUI Chain) Un total de 5 informes de auditoría de código se enumeran en el Github de Cetus, excluyendo la auditoría de Certik. Se estima que el equipo del proyecto también sabía que la auditoría de Certik era una formalidad, por lo que no incluyó este informe. Cetus es compatible con las cadenas Aptos y SUI, y los 5 informes de auditoría son de MoveBit, OtterSec y Zellic, respectivamente. Entre ellos, MoveBit y OtterSec auditan el código de Cetus en las cadenas Aptos y SUI, respectivamente, y Zellic también debería auditar el código en la cadena SUI. Debido a que fue Cetus en la cadena SUI el que fue atacado esta vez, solo veremos el informe de auditoría de Cetus sobre la cadena SUI a continuación. ❚ Informe de auditoría de MoveBit El informe se subió a Github el 28/04/2023 Si no entendemos el contenido específico de la auditoría, podemos encontrar una tabla como esta para ver el número de problemas de riesgo enumerados en el informe en cada nivel y qué tan bien se resuelven. El informe de auditoría de MoveBi sobre Cetust encontró un total de 18 problemas de riesgo, incluido 1 problema de riesgo fatal, 2 problemas de riesgo mayor, 3 problemas de riesgo medio y 12 problemas de riesgo leve, todos los cuales se han resuelto. Hay más problemas de los que Certik ha encontrado, y Cetus los ha resuelto todos. ❚ Informe de auditoría de OtterSec El informe se subió a Github el 2023-05-12 El informe de auditoría de OtterSec sobre Cetus encontró un total de 1 problema de alto riesgo, 1 problema de riesgo medio y 7 riesgos informativos, y las capturas de pantalla no se tomaron porque la tabla del informe no mostraba directamente la resolución del problema de riesgo. Entre ellos, se han resuelto tanto los problemas de alto riesgo como los de riesgo medio. Problemas de riesgo informativo, 2 resueltos, 2 parches corregidos enviados y 3 más. Después de un estudio aproximado, estos 3 son: •El código de las versiones de Sui y Aptos es inconsistente, lo que puede afectar la precisión del cálculo de precios de los pools de liquidez. • Falta de verificación de estado en pausa, no hay verificación de si el pool de liquidez está en un estado de pausa en el momento del swap. Si el grupo está suspendido, es posible que aún sea posible operar. • Convierta el tipo U256 en el tipo U64, si el valor supera MAX_U64 provocará un desbordamiento, lo que puede provocar errores de cálculo en el caso de transacciones grandes. No se sabe con certeza si el ataque está relacionado con los problemas anteriores. ❚ Informe de auditoría de Zellic El informe se subió a Github en abril de 2025 El informe de auditoría de Zellic sobre Cetus identificó tres riesgos informativos, ninguno de los cuales se solucionó: • Un problema de autorización de función que permite a cualquiera llamar para depositar tarifas en cualquier cuenta de socio. No parece ser arriesgado, es ahorrar dinero, no retirar dinero. Así que Cetus no lo arregló por el momento. • Hay una función a la que todavía hace referencia una generación obsoleta, y el código es redundante, lo que parece ser arriesgado, pero el código no es lo suficientemente prescriptivo. • Uno de los problemas de representación de la interfaz de usuario en los datos de visualización de NFT podría haberse basado en caracteres, pero Cetus usó el tipo de datos TypeName más complejo en el lenguaje Move. Esto no es un problema, y es posible que Cetus desarrolle otras características para los NFT en el futuro. En general, Zellic encontró 3 subproblemas de la capa de ozono, que están básicamente libres de riesgos y pertenecen al aspecto de la especificación del código. Tenemos que recordar a estos tres auditores: MoveBit, OtterSec, Zellic. Debido a que la mayoría de los auditores del mercado son buenos en las auditorías de EVM, estos tres auditores pertenecen a los auditores del código de lenguaje Move. ➤ Auditoría y nivel de seguridad (tome el nuevo DEX como ejemplo) En primer lugar, los proyectos que no han sido auditados por código están sujetos a una cierta cantidad de riesgo de Rug. Después de todo, ni siquiera está dispuesto a pagar por esta auditoría, y es difícil que la gente crea que tiene el deseo de operar durante mucho tiempo. En segundo lugar, la auditoría Certik es en realidad un tipo de "auditoría humana". ¿Por qué es una "auditoría humana", Certik tiene una cooperación muy estrecha con coinmarketcap. En la página del proyecto de coinmarketcap hay un icono de auditoría, que hace clic en él para llevarlo a la plataforma de navegación de Certik, skynet. coinmarketcap, como plataforma propiedad de Binance, permitió indirectamente a Certik establecer una asociación con Binance. De hecho, Binance y Certik siempre han tenido una buena relación, por lo que la mayoría de los proyectos que quieran cotizar en Binance buscarán la auditoría de Certik. Por lo tanto, si un proyecto busca la auditoría de Certik, es probable que quiera cotizar en Binance. Sin embargo, la historia ha demostrado que la probabilidad de un ataque a un proyecto auditado solo por Certik no es baja, como DEXX. Incluso hay proyectos que han sido FUG, como ZKasino. Por supuesto, Certik también tiene otra ayuda de seguridad, no solo auditoría de código, Certik escaneará sitios web, DNS, etc., y hay cierta información de seguridad además de la auditoría de código. En tercer lugar, muchos proyectos buscarán 1 ~ más que otras entidades de auditoría de alta calidad para realizar auditorías de seguridad de código. En cuarto lugar, además de las auditorías de código profesionales, algunos proyectos también llevarán a cabo programas de recompensas por errores y concursos de auditoría para intercambiar ideas y eliminar vulnerabilidades. Debido a que este es un producto DEX, tomemos algunos DEX más nuevos como ejemplos: --------------------------- ✦✦✦GMX V2 es una auditoría de código realizada por 5 empresas, incluidas abdk, certora, dedaub, guardian y sherlock, y lanzó un único programa de recompensas por errores de hasta $ 5 millones. ✦✦✦DeGate, un total de 35 empresas de Secbit, Least Authority y Trail of Bits realizaron auditorías de código y lanzaron un único programa de recompensas por errores de hasta 1,11 millones de dólares. ✦✦✦DYDX V4 es una auditoría de seguridad de código realizada por Informal Systems, y se ha lanzado un único programa de recompensas por errores de hasta 5 millones de dólares. ✦✦✦HyperLiquid realiza auditorías de seguridad de código por parte de HyperLiquid y ha lanzado un único programa de recompensas por errores de hasta 1 millón de dólares. ✦✦UniversalX es auditado por Certik y otro auditor experto (el informe de auditoría oficial se ha retirado temporalmente de las estanterías) ✦GMGN es especial en el sentido de que no se encuentra ningún informe de auditoría de código, solo un único programa de recompensas por errores de hasta $ 10,000. ➤ Escribe al final Después de revisar las auditorías de seguridad del código de estos DEX, podemos ver que incluso los DEX como Cetus, que son auditados conjuntamente por 3 auditores, siguen siendo vulnerables a los ataques. Las auditorías multiagente, combinadas con programas de recompensas por vulnerabilidades o concursos de auditoría, garantizan una seguridad relativamente segura. Sin embargo, para algunos nuevos protocolos Defi, todavía hay problemas en la auditoría de código que no se han solucionado, por lo que Brother Bee presta especial atención a la auditoría de código de los nuevos protocolos Defi.