TVBee
TVBee
HUMA-6,88 %
CETUS-6,50 %
SOL-3,86 %
SUI-5,14 %
GMX-4,27 %
AAVE-5,75 %
CORE-4,14 %
DYDX-5,02 %
1INCH-4,75 %
PLUME-7,00 %
SUSHI-6,35 %
MORPHO-4,35 %
PENDLE-5,93 %
L'écosystème DEX de SUI #Cetus a été attaqué, l'audit de sécurité du code est-il vraiment suffisant ? Les raisons et les impacts de l'attaque de Cetus ne sont pas encore clairs, nous pouvons d'abord examiner la situation de l'audit de sécurité du code de Cetus. Nous ne comprenons pas les détails techniques, mais ce résumé d'audit est compréhensible. ➤ Audit de Certik Voyons, Certik a effectué un audit de sécurité du code de Cetus et n'a trouvé que 2 problèmes de faible gravité, qui ont été résolus. Il y a également 9 risques d'information, dont 6 ont été résolus. Certik a donné une note globale de 83,06, et une note d'audit de code de 96. ➤ Autres rapports d'audit de Cetus (chaîne SUI) Cetus a listé 5 rapports d'audit de code sur son Github, sans inclure l'audit de Certik. On peut supposer que l'équipe du projet sait que l'audit de Certik est juste une formalité, donc ils ne l'ont pas inclus. Cetus prend en charge les chaînes Aptos et SUI, et ces 5 rapports d'audit proviennent de MoveBit, OtterSec et Zellic. MoveBit et OtterSec ont respectivement audité le code de Cetus sur les chaînes Aptos et SUI, tandis que Zellic a également audité le code sur la chaîne SUI. Étant donné que l'attaque a eu lieu sur la chaîne SUI de Cetus, nous allons examiner uniquement le rapport d'audit de Cetus sur la chaîne SUI. ❚ Rapport d'audit de MoveBit Date de téléchargement du rapport sur Github : 2023-04-28 Si nous ne comprenons pas les détails de l'audit, nous pouvons trouver un tableau comme celui-ci, qui montre le nombre de problèmes de risque à différents niveaux et leur état de résolution. Le rapport d'audit de MoveBit sur Cetus a trouvé 18 problèmes de risque, dont 1 problème de risque critique, 2 problèmes de risque majeur, 3 problèmes de risque modéré et 12 problèmes de faible gravité, tous résolus. Cela fait plus de problèmes que ceux trouvés par Certik, et Cetus a résolu tous ces problèmes. ❚ Rapport d'audit d'OtterSec Date de téléchargement du rapport sur Github : 2023-05-12 Le rapport d'audit d'OtterSec sur Cetus a trouvé 1 problème de risque élevé, 1 problème de risque modéré et 7 risques d'information. Comme le tableau du rapport ne montre pas directement l'état de résolution des problèmes de risque, je ne vais pas faire de capture d'écran. Les problèmes de risque élevé et modéré ont été résolus. Parmi les problèmes d'information, 2 ont été résolus, 2 ont reçu des correctifs, et 3 restent. Après une étude rapide, ces 3 problèmes sont : • Problème d'incohérence entre les versions de Sui et Aptos, ce qui pourrait affecter la précision du calcul des prix des pools de liquidité. • Absence de vérification de l'état de pause, lors de l'échange, il n'y a pas de vérification pour savoir si le pool de liquidité est en pause. Si le pool est en pause, il pourrait encore être possible de trader. • Conversion du type u256 en u64, si la valeur dépasse MAX_U64, cela peut entraîner un débordement, ce qui pourrait causer des erreurs de calcul lors de transactions importantes. Il n'est pas certain que l'attaque soit liée à ces problèmes. ❚ Rapport d'audit de Zellic Date de téléchargement du rapport sur Github : avril 2025 Le rapport d'audit de Zellic sur Cetus a trouvé 3 risques d'information, qui n'ont pas été corrigés : • Un problème d'autorisation de fonction, permettant à quiconque d'appeler une fonction pour déposer des frais sur n'importe quel compte partenaire. Cela ne semble pas risqué, c'est un dépôt, pas un retrait. Donc, Cetus n'a pas encore corrigé cela. • Il existe une fonction obsolète qui est encore référencée, ce qui rend le code redondant, cela ne semble pas risqué, mais cela manque de conformité au niveau du code. • Un problème d'affichage UI dans les données NFT, qui pourrait être fait avec un type de caractère, mais Cetus a utilisé un type de données TypeName plus complexe dans le langage Move. Ce n'est pas un gros problème, et il est possible que Cetus développe d'autres fonctionnalités pour les NFT à l'avenir. Dans l'ensemble, Zellic a trouvé 3 problèmes mineurs, qui ne présentent pas de risque significatif, mais relèvent plutôt de la conformité du code. Nous devons nous souvenir de ces trois agences d'audit : MoveBit, OtterSec, Zellic. Car la plupart des agences d'audit sur le marché sont spécialisées dans l'audit EVM, tandis que ces trois agences se spécialisent dans l'audit de code en langage Move. ➤ Audit et niveaux de sécurité (à titre d'exemple de nouveaux DEX) Tout d'abord, les projets qui n'ont pas été audités présentent un certain risque de rug pull. Après tout, s'ils ne veulent même pas débourser pour un audit, il est difficile de croire qu'ils ont l'intention de fonctionner à long terme. Deuxièmement, l'audit de Certik est en réalité une sorte d'"audit de courtoisie". Pourquoi est-ce un "audit de courtoisie" ? Certik a une collaboration très étroite avec CoinMarketCap. Sur la page de projet de CoinMarketCap, il y a une icône d'audit, en cliquant dessus, on accède à la plateforme de navigation de Certik, Skynet. CoinMarketCap, étant une plateforme sous Binance, établit indirectement une relation de coopération entre Certik et Binance. En fait, la relation entre Binance et Certik a toujours été bonne, donc la plupart des projets souhaitant être listés sur Binance chercheront l'audit de Certik. Ainsi, si un projet cherche l'audit de Certik, il y a de fortes chances qu'il souhaite être listé sur Binance. Cependant, l'histoire prouve que les projets uniquement audités par Certik ont un taux d'attaque non négligeable, comme DEXX. Certains projets ont même déjà FUG, comme ZKasino. Bien sûr, Certik offre également d'autres types d'assistance en matière de sécurité, non seulement des audits de code, mais aussi des scans de sites web, DNS, et d'autres informations de sécurité en dehors des audits de code. Troisièmement, de nombreux projets chercheront à faire auditer leur code par une ou plusieurs autres agences d'audit de qualité. Quatrièmement, en plus des audits de code professionnels, certains projets mettront également en place des programmes de récompense pour les bugs et des compétitions d'audit, afin de rassembler des idées et d'éliminer les vulnérabilités. Étant donné que le produit DEX a été attaqué cette fois-ci, prenons quelques nouveaux DEX comme exemple : --------------------------- ✦✦✦GMX V2, audité par 5 entreprises : abdk, certora, dedaub, guardian, sherlock, et a lancé un programme de récompense pour les bugs allant jusqu'à 5 millions de dollars. ✦✦✦DeGate, audité par 35 entreprises : Secbit, Least Authority, Trail of Bits, et a lancé un programme de récompense pour les bugs allant jusqu'à 1,11 million de dollars. ✦✦✦DYDX V4, audité par Informal Systems, et a lancé un programme de récompense pour les bugs allant jusqu'à 5 millions de dollars. ✦✦✦hyperliquid, audité par hyperliquid, et a lancé un programme de récompense pour les bugs allant jusqu'à 1 million de dollars. ✦✦UniversalX, audité par Certik et une autre agence d'audit spécialisée (le rapport d'audit a été temporairement retiré). ✦GMGN est un cas particulier, je n'ai pas trouvé de rapport d'audit, seulement un programme de récompense pour les bugs allant jusqu'à 10 000 dollars. ➤ En conclusion Après avoir examiné la situation des audits de sécurité du code de ces DEX, nous pouvons constater que même des DEX comme Cetus, qui ont été audités par 3 agences, peuvent encore être attaqués. Un audit par plusieurs parties, associé à un programme de récompense pour les bugs ou à une compétition d'audit, offre une sécurité relativement garantie. Cependant, pour certains nouveaux protocoles DeFi, il reste des problèmes non résolus dans les audits de code, c'est pourquoi Bee Brother accorde une attention particulière à la situation des audits de code des nouveaux protocoles DeFi.
Gallery 1
TVBee
TVBee
Dans quelle mesure les projets DeFi sont-ils sûrs pour que les gens soient fous de s’impliquer dans leurs fonds ? La sécurité n’est pas une mince affaire ! En particulier pour les produits DeFi/PayFi/RwaFi, où les fonds des utilisateurs sont déposés ou autorisés, la sécurité est toujours la première et la plus importante. Les produits DeFi matures tels que Uniswap, GMX et DyDx ont été testés par le marché (hackers) pendant longtemps, et leur sécurité est relativement plus élevée. Cependant, il existe un niveau d’incertitude plus élevé dans les nouvelles applications DeFi. C’est pourquoi, les nouveaux produits DeFi auront un rendement ou un rendement airdrop relativement plus élevé. Parce qu’il s’agit d’une compensation de risque pour les premiers participants. Bien que les audits de sécurité du code ne puissent pas garantir entièrement sa sécurité, ils peuvent relativement assurer la sécurité. Dans cet article, nous allons jeter un coup d’œil à plusieurs nouvelles ...... DeFi/PayFi/RwaFi Gestion de la sécurité telle que l’audit du code de produits similaires. ➤Huma @humafinance ❚ Présentation du projet Huma est un projet PayFi basé sur l’écosystème Solana et Stellar, qui vise à réinventer les paiements, les rendements et le financement sur la blockchain. ❚ Échelle écologique À l’heure actuelle, Huma est en avance sur le TGE, et il y a un plafond sur la taille des fonds pour la participation écologique. Selon le site officiel de Huma, le protocole dispose actuellement d’une liquidité active totale de 104 millions de dollars et d’un volume total de transactions de 4,3 milliards de dollars. ❚ Auditeur de code : Halborn Fondée en 2019, Halborn a audité le code de nombreux projets similaires tels que les chaînes publiques et la DeFi, tels que : Thorchain, Taiko, Core Chain, Story, Plume, Solayer, Zetachain, Avalanche, Persistenct, etc. ❚ Rapport d’audit Selon le rapport d’audit, Huma a identifié un total de 2 problèmes à faible risque qui ont été résolus. 2 risques informationnels sont connus. Aucun risque modéré ou élevé n’a été identifié. ❚ Bug bounties et concours de sécurité En juillet 2026, Huma a lancé un programme de bug bounty de 50 000 $ sur la plateforme cantina. Cantina est une plateforme de marché de sécurité Web3 fondée en 2023 qui propose des services de sécurité tels que des concours de sécurité, des primes aux bugs, des examens de sécurité, etc. Des projets bien connus tels que Uniswap, Morpho, Pendle, PancakeSwap et d’autres ont lancé des programmes de bug bounty ou des concours de sécurité sur eux.    ➤DefiApp @defidotapp ❚ Présentation du projet DefiApp est une DeFi agrégée basée sur l’abstraction de la chaîne, y compris les swaps au comptant, les contrats à terme perpétuels et les applications de prêt. ❚ Échelle écologique Selon DeFillama, DefiApp a un volume de transactions global de 137,38 millions de dollars sur 24 heures. Le volume total quotidien le plus élevé des transactions était de 225,76 millions de dollars. ❚ Auditeurs de code La documentation DefiApp montre que différentes parties sont auditées par différentes agences : ✦ Section Infrastructure : Sela Sela est une organisation de services de sécurité cloud dont les partenaires incluent Microsoft, Google, AWZ et Alibaba. ✦ Section Application Web : Halborn ✦ Partie contrat intelligent : Cantina ✦ Pièce airdrop : pashov Pashov Audit Group est une société de sécurité blockchain qui a audité des projets tels que DeFi, Gaming et Chain Split, tels que Sushi, 1inch, Aave, Ethena, Radiant, etc. ❚ Rapport d’audit Le lien du rapport d’audit de code dans la documentation de DefiApp est lié à son Github, mais le lien ne peut pas être ouvert et aucun rapport d’audit n’est disponible dans son Github. Vous ne savez pas si vous n’avez pas encore terminé votre audit ? Ou n’a-t-il pas encore été soumis à Github ? @defidotapp Sur les sites web des auditeurs répertoriés, seul le rapport d’audit de Pashov sur DefiApp, c’est-à-dire l’audit de la partie largage, a été trouvé. Le rapport d’audit de Pazhov montre que DefiApp a largué une partie du code et a trouvé un total de 1 à haut risque, 2 à risque moyen et 10 à faible risque. Tous les problèmes à faible risque, sauf 2, ont été résolus. ➤ StandX @StandX_Official ❚ Présentation du projet Contrats à terme perpétuels DEX, actuellement connus pour prendre en charge les chaînes Solana et BSC. ❚ Échelle écologique Selon le site officiel de StandX, StandX a $TVL 2297 millions, un total de 30 468 transactions sur la chaîne et 7 798 participants actifs. ❚ Auditeurs de code Le code de StandX se compose de deux parties, la chaîne EVM et le bord Solana, qui sont toutes doublement auditées par RigSec et WatchPug. RigSec est une société axée sur la sécurité des actifs numériques, et son principal marché est actuellement l’Asie, et ses projets audités incluent edgeX Exchange. WatchPug est une société d’audit de sécurité blockchain axée sur l’audit de code des protocoles DeFi, des projets NFT et des applications Web3. Les projets audités incluent Equilibria Finance, Penpie et d’autres. ❚ Rapport d’audit Le solana et le code chaîne EVM de StandX ont été audités par 2 auditeurs, et le rapport a montré que tous les risques modérés ou supérieurs ont été pris en compte. Il existe plusieurs recommandations à faible risque, à risque informationnel et d’optimisation du code. ➤ Écrivez à la fin Dans l’ensemble, Huma est un peu plus sûr. Non seulement le niveau de risque trouvé dans le rapport d’audit de code est plus faible, mais le programme de bug bounty fonctionne depuis près d’un an. Cela peut expliquer pourquoi Huma se remplit en moins d'1 heure chaque fois qu’Huma développe un dépôt. La sensibilisation à la sécurité des fonds importants est encore relativement élevée. Les 4 rapports d’audit de StandX montrent que le niveau de risque est relativement faible et qu’au-dessus de modéré est résolu. Cependant, les deux sociétés d’audit de code qui ont mené l’audit sont relativement bien connues, et il existe une certaine incertitude quant à la sécurité de StandX. En ce qui concerne DefiApp, il est possible que la spéculation d’audit d’autres pièces, à l’exception du contrat de largage, ne soit pas encore terminée. Ou peut-être que l’audit est terminé et que l’équipe travaille sur un correctif pour le problème. Enfin, pour un nouveau produit DeFi, même s’il passe un audit de sécurité du code, il ne peut toujours pas être sûr qu’il est entièrement sécurisé. Rappelez à tout le monde d’être prudent lorsqu’on participe aux premiers projets Defi, et d’être encore plus prudent dans le fonctionnement !
Gallery 1
Gallery 2
Gallery 3
Gallery 4
Afficher l’original
Provenance :twitter
39
34,92 k
Le contenu de cette page est fourni par des tiers. Sauf indication contraire, OKX n’est pas l’auteur du ou des articles cités et ne revendique aucun droit d’auteur sur le contenu. Le contenu est fourni à titre d’information uniquement et ne représente pas les opinions d’OKX. Il ne s’agit pas d’une approbation de quelque nature que ce soit et ne doit pas être considéré comme un conseil en investissement ou une sollicitation d’achat ou de vente d’actifs numériques. Dans la mesure où l’IA générative est utilisée pour fournir des résumés ou d’autres informations, ce contenu généré par IA peut être inexact ou incohérent. Veuillez lire l’article associé pour obtenir davantage de détails et d’informations. OKX n’est pas responsable du contenu hébergé sur des sites tiers. La détention d’actifs numériques, y compris les stablecoins et les NFT, implique un niveau de risque élevé et leur valeur peut considérablement fluctuer. Examinez soigneusement votre situation financière pour déterminer si le trading ou la détention d’actifs numériques vous convient.