TVBee
TVBee
HUMA-5,06 %
CETUS-3,68 %
SOL-5,14 %
SUI-4,89 %
GMX-4,92 %
AAVE-5,78 %
CORE-3,06 %
DYDX-5,67 %
1INCH-4,05 %
PLUME-7,33 %
SUSHI-5,79 %
MORPHO-4,88 %
PENDLE-6,37 %
Экосистема SUI DEX #Cetus подверглась атаке, действительно ли аудит безопасности кода достаточен? Причины и последствия атаки на Cetus пока неясны, давайте сначала посмотрим на ситуацию с аудитом безопасности кода Cetus. Мы, непрофессионалы, не можем понять конкретные технологии, но этот обзор аудита мы можем понять. ➤Аудит Certik Согласно данным, Certik провел аудит безопасности кода Cetus и обнаружил только 2 незначительных риска, которые уже были устранены. Также было выявлено 9 информационных рисков, из которых 6 уже решены. Общий балл, предоставленный Certik, составляет 83.06, а оценка аудита кода — 96 баллов. ➤Другие отчеты об аудите Cetus (цепочка SUI) На GitHub Cetus перечислено 5 отчетов об аудите кода, в том числе не включая аудит Certik. Похоже, что команда проекта тоже понимает, что аудит Certik — это просто формальность, поэтому не включила этот отчет. Cetus поддерживает как Aptos, так и цепочку SUI, и эти 5 отчетов об аудите поступили от MoveBit, OtterSec и Zellic. MoveBit и OtterSec провели аудит кода Cetus на цепочках Aptos и SUI соответственно, а Zellic, вероятно, также проводил аудит кода на цепочке SUI. Поскольку атаке подвергся Cetus на цепочке SUI, ниже мы рассмотрим только отчет об аудите Cetus на цепочке SUI. ❚ Отчет об аудите от MoveBit Дата загрузки отчета на GitHub: 2023-04-28 Если мы не понимаем конкретное содержание аудита, мы можем найти такую таблицу и посмотреть количество рисков разных уровней, указанных в отчете, и их статус решения. В отчете MoveBit о Cetus было обнаружено 18 проблем с рисками, включая 1 критическую, 2 серьезные, 3 умеренные и 12 незначительных рисков, все они были устранены. Это больше, чем проблемы, обнаруженные Certik, и все они были решены Cetus. ❚ Отчет об аудите от OtterSec Дата загрузки отчета на GitHub: 2023-05-12 В отчете OtterSec о Cetus было обнаружено 1 высокий риск, 1 умеренный риск и 7 информационных рисков. Поскольку в таблице отчета не указано, как были решены рисковые проблемы, мы не будем делать скриншоты. Из них высокий и умеренный риски были устранены. Информационные риски: 2 были решены, 2 получили патчи на исправление, а 3 остаются. В общем, эти 3 проблемы: • Проблема несоответствия версий кода Sui и Aptos, что может повлиять на точность расчета цен в ликвидных пулах. • Отсутствие проверки состояния приостановки, при Swap не проверяется, находится ли ликвидный пул в состоянии приостановки. Если пул приостановлен, возможно, все равно можно торговать. • Преобразование типа u256 в u64, если значение превышает MAX_U64, это может привести к переполнению, что может вызвать ошибки при крупных сделках. Сейчас неясно, связано ли нападение с этими проблемами. ❚ Отчет об аудите от Zellic Дата загрузки отчета на GitHub: 2025 год В отчете Zellic о Cetus было обнаружено 3 информационных риска, которые не были устранены: • Проблема с авторизацией функции, позволяющая любому вызывать функцию для внесения средств на любой партнерский счет. Это, похоже, не представляет риска, это внесение денег, а не их снятие. Поэтому Cetus пока не исправил это. • Существует устаревшая функция, которая все еще используется, избыточный код, это, похоже, не представляет риска, просто код не соответствует стандартам. • Проблема отображения данных NFT в UI, вместо использования строкового типа Cetus использовал более сложный тип данных TypeName из языка Move. Это не является проблемой и, возможно, в будущем Cetus добавит другие функции для NFT. В целом, Zellic обнаружил 3 проблемы, которые в основном касаются стандартов кода и не представляют серьезного риска. Мы должны запомнить эти три аудиторские компании: MoveBit, OtterSec и Zellic. Поскольку большинство аудиторских компаний на рынке специализируются на EVM-аудите, эти три компании являются специализированными аудиторами кода на языке Move. ➤Аудит и уровень безопасности (на примере нового DEX) Во-первых, проекты, которые не прошли аудит кода, имеют определенный риск Rug. В конце концов, если они даже не хотят потратить деньги на аудит, трудно поверить в их желание вести долгосрочный бизнес. Во-вторых, аудит Certik на самом деле является "связевым аудитом". Почему это "связевой аудит"? Certik имеет очень тесное сотрудничество с coinmarketcap. На странице проекта coinmarketcap есть значок аудита, на который можно нажать, чтобы перейти на навигационную платформу Certik skynet. Coinmarketcap, как платформа под управлением Binance, косвенно установил сотрудничество между Certik и Binance. На самом деле, отношения между Binance и Certik всегда были хорошими, поэтому большинство проектов, желающих попасть на Binance, будут искать аудит Certik. Таким образом, если проект ищет аудит Certik, скорее всего, он хочет попасть на Binance. Однако история показывает, что проекты, прошедшие аудит только Certik, имеют довольно высокую вероятность быть атакованными, например, DEXX. Некоторые проекты уже исчезли, например, ZKasino. Конечно, у Certik есть и другие меры безопасности, помимо аудита кода, Certik также проводит сканирование сайтов, DNS и предоставляет некоторую информацию о безопасности, не относящуюся к аудиту кода. В-третьих, многие проекты будут искать 1 или более других качественных аудиторских организаций для проведения аудита безопасности кода. В-четвертых, помимо профессионального аудита кода, некоторые проекты также будут проводить программы поощрения за уязвимости и конкурсы аудита, чтобы собрать мнения и устранить уязвимости. Поскольку в этот раз атаке подвергся продукт DEX, давайте рассмотрим некоторые новые DEX в качестве примера: --------------------------- ✦✦✦GMX V2, аудит кода проводили 5 компаний: abdk, certora, dedaub, guardian, sherlock, и была запущена программа поощрения за уязвимости с максимальной суммой 5 миллионов долларов. ✦✦✦DeGate, аудит кода проводили 35 компаний: Secbit, Least Authority, Trail of Bits, и была запущена программа поощрения за уязвимости с максимальной суммой 1 миллион 110 тысяч долларов. ✦✦✦DYDX V4, аудит безопасности кода проводил Informal Systems, и была запущена программа поощрения за уязвимости с максимальной суммой 5 миллионов долларов. ✦✦✦hyperliquid, аудит безопасности кода проводил hyperliquid, и была запущена программа поощрения за уязвимости с максимальной суммой 1 миллион долларов. ✦✦UniversalX, аудит проводился Certik и другой экспертной аудиторской организацией (официально временно снят отчет об аудите). ✦GMGN довольно уникален, не удалось найти отчет об аудите кода, только программа поощрения за уязвимости с максимальной суммой 10 тысяч долларов. ➤Заключение После анализа ситуации с аудитом безопасности кода этих DEX, мы можем увидеть, что даже такие DEX, как Cetus, прошедшие аудит тремя аудиторскими организациями, все равно могут подвергаться атакам. Многосторонний аудит в сочетании с программами поощрения за уязвимости или конкурсами аудита обеспечивает относительную безопасность. Однако для некоторых новых протоколов DeFi еще есть нерешенные проблемы в аудите кода, и именно поэтому Братец Пчела особенно внимательно следит за ситуацией с аудитом кода новых протоколов DeFi.
Gallery 1
TVBee
TVBee
Какова безопасность DeFi-проектов, в которые люди безумно "вкладывают" средства? Безопасность — это не мелочь! Особенно для продуктов типа DeFi/PayFi/RwaFi, где пользователи вносят или авторизуют свои средства, безопасность всегда является первостепенной и важной. Такие зрелые DeFi-продукты, как Uniswap, GMX, DyDx, прошли длительное испытание рынком (хакерами), и их безопасность относительно выше. Однако новые DeFi-приложения имеют более высокую степень неопределенности. Вот почему новые DeFi-продукты предлагают относительно более высокую доходность или аирдропы. Это компенсация за риск для ранних участников. Хотя аудит безопасности кода не может полностью гарантировать безопасность, он может относительно обеспечить её. В этой статье мы рассмотрим ситуацию с аудитом кода и управлением безопасностью нескольких новых продуктов типа DeFi/PayFi/RwaFi... ➤Huma @humafinance ❚ Описание проекта Huma — это PayFi-проект на основе экосистемы Solana и сети Stellar, цель которого — переосмыслить платежи, доходы и финансирование на блокчейне. ❚ Масштаб экосистемы В настоящее время Huma находится на стадии до TGE, и объем средств, участвующих в экосистеме, ограничен. Согласно официальному сайту Huma, в настоящее время общий активный объем ликвидности протокола составляет 104 миллиона долларов, а общий объем торгов — 4,3 миллиарда долларов. ❚ Аудиторская компания: Halborn Halborn была основана в 2019 году и проводила аудит кода различных проектов, таких как Thorchain, Taiko, Core Chain, Story, Plume, Solayer, Zetachain, Avalanche, Persistenct и других. ❚ Отчет об аудите Отчет об аудите показывает, что в Huma было обнаружено 2 проблемы низкого риска, которые уже решены. Известны 2 информационных риска. Проблемы среднего и высокого риска не обнаружены. ❚ Программа вознаграждений за уязвимости и конкурсы по безопасности В июле 2026 года Huma запустила программу вознаграждений за уязвимости на платформе Cantina с бюджетом в 50 000 долларов. Cantina — это платформа для обеспечения безопасности Web3, основанная в 2023 году, предоставляющая услуги по проведению конкурсов по безопасности, вознаграждений за уязвимости и проверок безопасности. Известные проекты, такие как Uniswap, Morpho, Pendle, PancakeSwap, запустили на ней программы вознаграждений за уязвимости или конкурсы по безопасности. ➤DefiApp @defidotapp ❚ Описание проекта DefiApp — это агрегатор DeFi на основе цепной абстракции, включающий спотовый своп, бессрочные фьючерсы и кредитование. ❚ Масштаб экосистемы Согласно DeFillama, 24-часовой объем агрегированных торгов DefiApp составляет 137,38 миллиона долларов. Максимальный дневной объем агрегированных торгов составляет 225,76 миллиона долларов. ❚ Аудиторская компания Документация DefiApp показывает, что разные части были проверены разными компаниями: ✦ Инфраструктурная часть: Sela Sela — это компания по облачной безопасности, среди её партнеров Microsoft, Google, AWZ и Alibaba. ✦ Веб-приложение: Halborn ✦ Смарт-контракты: Cantina ✦ Аирдроп: pashov Pashov Audit Group — это компания по безопасности блокчейна, которая проводила аудит проектов, таких как DeFi, игры и цепные абстракции, например: Sushi, 1inch, Aave, Ethena, Radiant и другие. ❚ Отчет об аудите Ссылка на отчет об аудите кода в документации DefiApp ведет на их Github, но ссылка не открывается, и на их Github также не найдено никаких отчетов об аудите. Неизвестно, завершен ли аудит? Или он еще не загружен на Github? Или был удален? @defidotapp На сайтах указанных аудиторских компаний также был найден только отчет pashov об аудите DefiApp, то есть об аудите части аирдропа. Отчет об аудите pashov показывает, что в коде части аирдропа DefiApp было обнаружено 1 проблема высокого риска, 2 проблемы среднего риска и 10 проблем низкого риска. Все, кроме 2 проблем низкого риска, были решены. ➤StandX @StandX_Official ❚ Описание проекта DEX бессрочных фьючерсов, в настоящее время поддерживающий Solana и BSC. ❚ Масштаб экосистемы Согласно официальному сайту StandX, TVL StandX составляет 22,97 миллиона долларов, общее количество транзакций на блокчейне — 30 468, активных участников — 7 798 человек. ❚ Аудиторская компания Код StandX, включающий цепи EVM и Solana, был подвергнут двойному аудиту компаниями RigSec и WatchPug. RigSec — это компания, специализирующаяся на безопасности цифровых активов, основной рынок которой находится в Азии, и она проводила аудит таких проектов, как edgeX Exchange и других. WatchPug — это компания по аудиту безопасности блокчейна, специализирующаяся на аудите кода DeFi-протоколов, NFT-проектов и Web3-приложений. Она проводила аудит таких проектов, как Equilibria Finance, Penpie и других. ❚ Отчет об аудите Две аудиторские компании провели аудит кода цепей solana и EVM StandX, и отчет показывает, что все проблемы среднего и выше уровня риска были решены. Существуют некоторые проблемы низкого риска, информационные риски и рекомендации по оптимизации кода. ➤Заключение В целом, безопасность Huma выше. Не только уровень риска, обнаруженный в отчете об аудите кода, ниже, но и программа вознаграждений за уязвимости работает почти год. Это объясняет, почему каждый раз, когда Huma открывает депозиты, лимит заполняется менее чем за час. Осознание безопасности у крупных инвесторов все же довольно высокое. Четыре отчета об аудите StandX показывают, что проблемы среднего и выше уровня риска были решены, и уровень риска также относительно низкий. Однако две компании, проводившие аудит кода, относительно малоизвестны, и безопасность StandX имеет определенную степень неопределенности. Что касается DefiApp, возможно, что аудит, кроме контракта аирдропа, еще не завершен. Или аудит завершен, и команда работает над устранением проблем. В заключение, даже если новый DeFi-продукт прошел аудит безопасности кода, это не гарантирует его полной безопасности. Рекомендуем быть осторожными при участии в ранних DeFi-проектах и проявлять особую осторожность в своих действиях!
Gallery 1
Gallery 2
Gallery 3
Gallery 4
Показать оригинал
Источник:twitter
39
33,62 тыс.
Содержание этой страницы предоставляется третьими сторонами. OKX не является автором цитируемых статей и не имеет на них авторских прав, если не указано иное. Материалы предоставляются исключительно в информационных целях и не отражают мнения OKX. Материалы не являются инвестиционным советом и призывом к покупке или продаже цифровых активов. Раздел использует ИИ для создания обзоров и кратких содержаний предоставленных материалов. Обратите внимание, что информация, сгенерированная ИИ, может быть неточной и непоследовательной. Для получения полной информации изучите соответствующую оригинальную статью. OKX не несет ответственности за материалы, содержащиеся на сторонних сайтах. Цифровые активы, в том числе стейблкоины и NFT, подвержены высокому риску, а их стоимость может сильно колебаться. Перед торговлей и покупкой цифровых активов оцените ваше финансовое состояние и принимайте только взвешенные решения.