SUI Ecosystem DEX #Cetus Apakah Audit Keamanan Kode Benar-benar Memadai Saat Diserang? Penyebab dan dampak serangan terhadap Cetus belum jelas, tetapi pertama-tama kita dapat melihat audit keamanan kode Cetus. Bagi yang belum tahu, kami tidak dapat memahami teknologi spesifik, tetapi ringkasan audit ini dapat dipahami. ➤ Audit Certik Audit keamanan kode Certik terhadap Cetus hanya menemukan 2 bahaya kecil yang teratasi. Ada juga 9 risiko informasi, 6 terselesaikan. Certik memberikan peringkat keseluruhan 83,06 dan skor audit kode 96. ➤ Laporan audit lainnya dari Cetus (SUI Chain) Sebanyak 5 laporan audit kode terdaftar di Github Cetus, tidak termasuk audit Certik. Diperkirakan tim proyek juga mengetahui bahwa audit Certik merupakan formalitas, sehingga tidak termasuk laporan ini. Cetus mendukung rantai Aptos dan SUI, dan 5 laporan audit masing-masing berasal dari MoveBit, OtterSec, dan Zellic. Di antara mereka, MoveBit dan OtterSec mengaudit kode Ctus pada rantai Aptos dan SUI, masing-masing, dan Zellic juga harus mengaudit kode pada rantai SUI. Karena Cetus pada rantai SUI yang diserang kali ini, kita hanya akan melihat laporan audit Cetus pada rantai SUI di bawah ini. ❚ Laporan audit dari MoveBit Laporan tersebut diunggah ke Github pada 2023-04-28 Jika kami tidak memahami konten audit tertentu, kami dapat menemukan tabel seperti ini untuk melihat jumlah masalah risiko yang tercantum dalam laporan di setiap tingkatan, dan seberapa baik masalah tersebut diselesaikan. Laporan audit MoveBi terhadap Cetust menemukan total 18 isu risiko, termasuk 1 isu risiko fatal, 2 isu risiko utama, 3 isu risiko sedang, dan 12 isu risiko ringan, yang semuanya telah terselesaikan. Ada lebih banyak masalah daripada yang ditemukan Certik, dan Cetus telah memecahkan semuanya. ❚ Laporan audit dari OtterSec Laporan tersebut diunggah ke Github pada 2023-05-12 Laporan audit OtterSec terhadap Cetus menemukan total 1 masalah berisiko tinggi, 1 masalah berisiko menengah, dan 7 risiko informasi, dan tangkapan layar tidak diambil karena tabel laporan tidak secara langsung menunjukkan penyelesaian masalah risiko. Di antara mereka, masalah berisiko tinggi dan menengah telah diselesaikan. Masalah risiko informasi, 2 teratasi, 2 patch tetap dikirimkan, dan 3 lainnya. Setelah studi kasar, 3 ini adalah: • Kode versi Sui dan Aptos tidak konsisten, yang dapat memengaruhi keakuratan perhitungan harga kumpulan likuiditas. • Kurangnya verifikasi status yang dijeda, tidak ada verifikasi apakah kumpulan likuiditas dalam keadaan dijeda pada saat swap. Jika pool ditangguhkan, mungkin masih mungkin untuk berdagang. • Konversi tipe U256 ke tipe U64, jika nilainya melebihi MAX_U64 akan menyebabkan luapan yang dapat menyebabkan kesalahan perhitungan dalam kasus transaksi besar. Tidak pasti apakah serangan tersebut terkait dengan masalah di atas. ❚ Laporan audit dari Zellic Laporan tersebut diunggah ke Github pada April 2025 Laporan audit Zellic pada Cetus mengidentifikasi tiga risiko informasi, tidak ada yang diperbaiki: • Masalah otorisasi fungsi yang memungkinkan siapa pun untuk menelepon untuk menyetor biaya ke akun mitra mana pun. Sepertinya tidak berisiko, itu menghemat uang, bukan menarik uang. Jadi Cetus tidak memperbaikinya untuk saat ini. • Ada fungsi yang masih direferensikan oleh generasi yang tidak digunakan lagi, dan kodenya berlebihan, yang tampaknya berisiko, tetapi kodenya tidak cukup preskriptif. • Salah satu masalah rendering UI dalam data tampilan NFT bisa saja berbasis karakter, tetapi Cetus menggunakan tipe data TypeName yang lebih kompleks dalam bahasa Move. Ini tidak masalah, dan ada kemungkinan Cetus akan mengembangkan fitur lain untuk NFT di masa mendatang. Secara keseluruhan, Zellic menemukan 3 sub-masalah lapisan ozon, yang pada dasarnya bebas risiko dan termasuk dalam aspek spesifikasi kode. Kita harus mengingat ketiga auditor ini: MoveBit, OtterSec, Zellic. Karena sebagian besar auditor di pasar pandai dalam audit EVM, ketiga auditor ini termasuk dalam auditor kode bahasa Move. ➤ Tingkat Audit & Keamanan (Ambil DEX baru sebagai contoh) Pertama-tama, proyek yang belum diaudit oleh kode tunduk pada sejumlah risiko Karpet. Lagi pula, dia bahkan tidak mau membayar audit ini, dan sulit bagi orang untuk percaya bahwa dia memiliki keinginan untuk beroperasi untuk waktu yang lama. Kedua, audit Certik sebenarnya adalah semacam "human audit". Mengapa ini "audit manusia", Certik memiliki kerja sama yang sangat erat dengan coinmarketcap. Di halaman proyek coinmarketcap ada ikon audit, yang mengkliknya untuk membawa Anda ke platform navigasi Certik, skynet. coinmarketcap, sebagai platform yang dimiliki oleh Binance, secara tidak langsung memungkinkan Certik untuk menjalin kemitraan dengan Binance. Faktanya, Binance dan Certik selalu memiliki hubungan yang baik, jadi sebagian besar proyek yang ingin terdaftar di Binance akan meminta audit Certik. Oleh karena itu, jika sebuah proyek mencari audit Certik, kemungkinan besar ingin mendaftar di Binance. Namun, sejarah telah menunjukkan bahwa kemungkinan serangan terhadap proyek yang hanya diaudit oleh Certik tidak rendah, seperti DEXX. Bahkan ada proyek yang telah FUG, seperti ZKasino. Tentu saja, Certik juga memiliki beberapa bantuan keamanan lainnya, tidak hanya audit kode, Certik akan memindai situs web, DNS, dll., Dan ada beberapa informasi keamanan selain audit kode. Ketiga, banyak proyek akan mencari 1~lebih dari satu entitas audit berkualitas tinggi lainnya untuk melakukan audit keamanan kode. Keempat, selain audit kode profesional, beberapa proyek juga akan melakukan program bug bounty dan kompetisi audit untuk brainstorming dan menghilangkan kerentanan. Karena ini adalah produk DEX, mari kita ambil beberapa DEX yang lebih baru sebagai contoh: --------------------------- ✦✦✦GMX V2 adalah audit kode yang dilakukan oleh 5 perusahaan, termasuk abdk, certora, dedaub, guardian, dan sherlock, dan meluncurkan program bug bounty tunggal hingga $5 juta. ✦✦✦DeGate, total 35 perusahaan dari Secbit, Least Authority, dan Trail of Bits melakukan audit kode, dan meluncurkan program bug bounty tunggal hingga $1,11 juta. ✦✦✦DYDX V4 adalah audit keamanan kode yang dilakukan oleh Informal Systems, dan program bug bounty tunggal hingga $5 juta telah diluncurkan. ✦✦✦HyperLiquid melakukan audit keamanan kode oleh HyperLiquid, dan telah meluncurkan program bug bounty tunggal hingga $1 juta. ✦✦UniversalX diaudit oleh Certik dan auditor ahli lainnya (laporan audit resmi telah dihapus sementara dari rak) ✦GMGN istimewa karena tidak ada laporan audit kode yang ditemukan, hanya satu program bug bounty hingga $10.000. ➤ Tulis di akhir Setelah meninjau audit keamanan kode DEX ini, kita dapat melihat bahwa bahkan DEX seperti Cetus, yang diaudit bersama oleh 3 auditor, masih rentan terhadap serangan. Audit multi-agen, dikombinasikan dengan program bounty kerentanan atau kompetisi audit, memastikan keamanan yang relatif aman. Namun, untuk beberapa protokol Defi baru, masih ada masalah dalam audit kode yang belum diperbaiki, itulah sebabnya Brother Bee memberikan perhatian khusus pada audit kode protokol Defi baru.