TVBee
TVBee
HUMA-4,05%
CETUS-3,26%
SOL-4,26%
SUI-3,51%
GMX-3,87%
AAVE-4,50%
CORE-2,44%
DYDX-4,84%
1INCH-3,34%
PLUME-6,94%
SUSHI-4,47%
MORPHO-3,65%
PENDLE-5,95%
SUI Ecosystem DEX #Cetus Apakah Audit Keamanan Kode Benar-benar Memadai Saat Diserang? Penyebab dan dampak serangan terhadap Cetus belum jelas, tetapi pertama-tama kita dapat melihat audit keamanan kode Cetus. Bagi yang belum tahu, kami tidak dapat memahami teknologi spesifik, tetapi ringkasan audit ini dapat dipahami. ➤ Audit Certik Audit keamanan kode Certik terhadap Cetus hanya menemukan 2 bahaya kecil yang teratasi. Ada juga 9 risiko informasi, 6 terselesaikan. Certik memberikan peringkat keseluruhan 83,06 dan skor audit kode 96. ➤ Laporan audit lainnya dari Cetus (SUI Chain) Sebanyak 5 laporan audit kode terdaftar di Github Cetus, tidak termasuk audit Certik. Diperkirakan tim proyek juga mengetahui bahwa audit Certik merupakan formalitas, sehingga tidak termasuk laporan ini. Cetus mendukung rantai Aptos dan SUI, dan 5 laporan audit masing-masing berasal dari MoveBit, OtterSec, dan Zellic. Di antara mereka, MoveBit dan OtterSec mengaudit kode Ctus pada rantai Aptos dan SUI, masing-masing, dan Zellic juga harus mengaudit kode pada rantai SUI. Karena Cetus pada rantai SUI yang diserang kali ini, kita hanya akan melihat laporan audit Cetus pada rantai SUI di bawah ini. ❚ Laporan audit dari MoveBit Laporan tersebut diunggah ke Github pada 2023-04-28 Jika kami tidak memahami konten audit tertentu, kami dapat menemukan tabel seperti ini untuk melihat jumlah masalah risiko yang tercantum dalam laporan di setiap tingkatan, dan seberapa baik masalah tersebut diselesaikan. Laporan audit MoveBi terhadap Cetust menemukan total 18 isu risiko, termasuk 1 isu risiko fatal, 2 isu risiko utama, 3 isu risiko sedang, dan 12 isu risiko ringan, yang semuanya telah terselesaikan. Ada lebih banyak masalah daripada yang ditemukan Certik, dan Cetus telah memecahkan semuanya. ❚ Laporan audit dari OtterSec Laporan tersebut diunggah ke Github pada 2023-05-12 Laporan audit OtterSec terhadap Cetus menemukan total 1 masalah berisiko tinggi, 1 masalah berisiko menengah, dan 7 risiko informasi, dan tangkapan layar tidak diambil karena tabel laporan tidak secara langsung menunjukkan penyelesaian masalah risiko. Di antara mereka, masalah berisiko tinggi dan menengah telah diselesaikan. Masalah risiko informasi, 2 teratasi, 2 patch tetap dikirimkan, dan 3 lainnya. Setelah studi kasar, 3 ini adalah: • Kode versi Sui dan Aptos tidak konsisten, yang dapat memengaruhi keakuratan perhitungan harga kumpulan likuiditas. • Kurangnya verifikasi status yang dijeda, tidak ada verifikasi apakah kumpulan likuiditas dalam keadaan dijeda pada saat swap. Jika pool ditangguhkan, mungkin masih mungkin untuk berdagang. • Konversi tipe U256 ke tipe U64, jika nilainya melebihi MAX_U64 akan menyebabkan luapan yang dapat menyebabkan kesalahan perhitungan dalam kasus transaksi besar. Tidak pasti apakah serangan tersebut terkait dengan masalah di atas. ❚ Laporan audit dari Zellic Laporan tersebut diunggah ke Github pada April 2025 Laporan audit Zellic pada Cetus mengidentifikasi tiga risiko informasi, tidak ada yang diperbaiki: • Masalah otorisasi fungsi yang memungkinkan siapa pun untuk menelepon untuk menyetor biaya ke akun mitra mana pun. Sepertinya tidak berisiko, itu menghemat uang, bukan menarik uang. Jadi Cetus tidak memperbaikinya untuk saat ini. • Ada fungsi yang masih direferensikan oleh generasi yang tidak digunakan lagi, dan kodenya berlebihan, yang tampaknya berisiko, tetapi kodenya tidak cukup preskriptif. • Salah satu masalah rendering UI dalam data tampilan NFT bisa saja berbasis karakter, tetapi Cetus menggunakan tipe data TypeName yang lebih kompleks dalam bahasa Move. Ini tidak masalah, dan ada kemungkinan Cetus akan mengembangkan fitur lain untuk NFT di masa mendatang. Secara keseluruhan, Zellic menemukan 3 sub-masalah lapisan ozon, yang pada dasarnya bebas risiko dan termasuk dalam aspek spesifikasi kode. Kita harus mengingat ketiga auditor ini: MoveBit, OtterSec, Zellic. Karena sebagian besar auditor di pasar pandai dalam audit EVM, ketiga auditor ini termasuk dalam auditor kode bahasa Move. ➤ Tingkat Audit & Keamanan (Ambil DEX baru sebagai contoh) Pertama-tama, proyek yang belum diaudit oleh kode tunduk pada sejumlah risiko Karpet. Lagi pula, dia bahkan tidak mau membayar audit ini, dan sulit bagi orang untuk percaya bahwa dia memiliki keinginan untuk beroperasi untuk waktu yang lama. Kedua, audit Certik sebenarnya adalah semacam "human audit". Mengapa ini "audit manusia", Certik memiliki kerja sama yang sangat erat dengan coinmarketcap. Di halaman proyek coinmarketcap ada ikon audit, yang mengkliknya untuk membawa Anda ke platform navigasi Certik, skynet. coinmarketcap, sebagai platform yang dimiliki oleh Binance, secara tidak langsung memungkinkan Certik untuk menjalin kemitraan dengan Binance. Faktanya, Binance dan Certik selalu memiliki hubungan yang baik, jadi sebagian besar proyek yang ingin terdaftar di Binance akan meminta audit Certik. Oleh karena itu, jika sebuah proyek mencari audit Certik, kemungkinan besar ingin mendaftar di Binance. Namun, sejarah telah menunjukkan bahwa kemungkinan serangan terhadap proyek yang hanya diaudit oleh Certik tidak rendah, seperti DEXX. Bahkan ada proyek yang telah FUG, seperti ZKasino. Tentu saja, Certik juga memiliki beberapa bantuan keamanan lainnya, tidak hanya audit kode, Certik akan memindai situs web, DNS, dll., Dan ada beberapa informasi keamanan selain audit kode. Ketiga, banyak proyek akan mencari 1~lebih dari satu entitas audit berkualitas tinggi lainnya untuk melakukan audit keamanan kode. Keempat, selain audit kode profesional, beberapa proyek juga akan melakukan program bug bounty dan kompetisi audit untuk brainstorming dan menghilangkan kerentanan. Karena ini adalah produk DEX, mari kita ambil beberapa DEX yang lebih baru sebagai contoh: --------------------------- ✦✦✦GMX V2 adalah audit kode yang dilakukan oleh 5 perusahaan, termasuk abdk, certora, dedaub, guardian, dan sherlock, dan meluncurkan program bug bounty tunggal hingga $5 juta. ✦✦✦DeGate, total 35 perusahaan dari Secbit, Least Authority, dan Trail of Bits melakukan audit kode, dan meluncurkan program bug bounty tunggal hingga $1,11 juta. ✦✦✦DYDX V4 adalah audit keamanan kode yang dilakukan oleh Informal Systems, dan program bug bounty tunggal hingga $5 juta telah diluncurkan. ✦✦✦HyperLiquid melakukan audit keamanan kode oleh HyperLiquid, dan telah meluncurkan program bug bounty tunggal hingga $1 juta. ✦✦UniversalX diaudit oleh Certik dan auditor ahli lainnya (laporan audit resmi telah dihapus sementara dari rak) ✦GMGN istimewa karena tidak ada laporan audit kode yang ditemukan, hanya satu program bug bounty hingga $10.000. ➤ Tulis di akhir Setelah meninjau audit keamanan kode DEX ini, kita dapat melihat bahwa bahkan DEX seperti Cetus, yang diaudit bersama oleh 3 auditor, masih rentan terhadap serangan. Audit multi-agen, dikombinasikan dengan program bounty kerentanan atau kompetisi audit, memastikan keamanan yang relatif aman. Namun, untuk beberapa protokol Defi baru, masih ada masalah dalam audit kode yang belum diperbaiki, itulah sebabnya Brother Bee memberikan perhatian khusus pada audit kode protokol Defi baru.
Gallery 1
TVBee
TVBee
Seberapa aman proyek DeFi yang membuat orang tergila-gila untuk terlibat dalam dana mereka? Keamanan bukanlah masalah kecil! Khusus untuk produk DeFi/PayFi/RwaFi, di mana dana pengguna disetorkan atau diotorisasi, keamanan selalu menjadi yang pertama dan terpenting. Produk DeFi yang matang seperti Uniswap, GMX, dan DyDx telah diuji oleh pasar (hacker) untuk waktu yang lama, dan keamanannya relatif lebih tinggi. Namun, ada tingkat ketidakpastian yang lebih tinggi dalam aplikasi DeFi baru. Itu sebabnya, produk DeFi baru, akan memiliki hasil atau pengembalian airdrop yang relatif lebih tinggi. Karena ini adalah kompensasi risiko bagi peserta awal. Meskipun audit keamanan kode tidak dapat sepenuhnya menjamin keamanannya, itu relatif dapat memastikan keamanan. Pada artikel ini, kita akan melihat beberapa ...... DeFi/PayFi/RwaFi baru. Manajemen keamanan seperti audit kode produk serupa. ➤Huma @humafinance ❚ Pengenalan Proyek Huma adalah proyek PayFi berdasarkan ekosistem Solana dan Stellar, yang bertujuan untuk menemukan kembali pembayaran, hasil, dan pembiayaan di blockchain. ❚ Skala ekologis Saat ini, Huma berada di depan TGE, dan ada batasan ukuran dana untuk partisipasi ekologis. Menurut situs web resmi Huma, protokol saat ini memiliki total likuiditas aktif sebesar $104 juta dan total volume perdagangan $4,3 miliar. ❚ Auditor kode: Halborn Didirikan pada tahun 2019, Halborn telah mengaudit kode banyak proyek serupa seperti rantai publik dan DeFi, seperti: Thorchain, Taiko, Core Chain, Story, Plume, Solayer, Zetachain, Avalanche, Persistenct, dll. ❚ Laporan audit Menurut laporan audit, Huma mengidentifikasi total 2 masalah berisiko rendah yang telah diselesaikan. 2 risiko informasi diketahui. Tidak ada risiko sedang atau atas yang diidentifikasi. ❚ Hadiah bug dan kontes keamanan Pada Juli 2026, Huma meluncurkan program bug bounty senilai $50.000 di platform cantina. Cantina adalah platform pasar keamanan Web3 yang didirikan pada tahun 2023 yang menawarkan layanan keamanan seperti kontes keamanan, bug bounty, tinjauan keamanan, dan banyak lagi. Proyek-proyek terkenal seperti Uniswap, Morpho, Pendle, PancakeSwap, dan lainnya telah meluncurkan program bug bounty atau kontes keamanan di dalamnya.    ➤DefiApp @defidotapp ❚ Pengenalan Proyek DefiApp adalah DeFi agregat berdasarkan abstraksi rantai, termasuk swap spot, futures abadi, dan aplikasi pinjaman. ❚ Skala ekologis Menurut DeFillama, DefiApp memiliki volume perdagangan agregat 24 jam sebesar $137,38 juta. Volume perdagangan agregat harian tertinggi adalah $225,76 juta. ❚ Auditor kode Dokumentasi DefiApp menunjukkan bahwa bagian yang berbeda diaudit oleh lembaga yang berbeda: ✦ Bagian Infrastruktur: Sela Sela adalah organisasi layanan keamanan cloud yang mitranya termasuk Microsoft, Google, AWZ, dan Alibaba. ✦ Bagian Aplikasi Web: Halborn ✦ Bagian kontrak pintar: Cantina ✦ Bagian airdrop: pashov Pashov Audit Group adalah perusahaan keamanan blockchain yang telah mengaudit proyek-proyek seperti DeFi, Gaming, dan Chain Split, seperti Sushi, 1inch, Aave, Ethena, Radiant, dan banyak lagi. ❚ Laporan audit Tautan laporan audit kode dalam dokumentasi DefiApp ditautkan ke Github-nya, tetapi tautan tidak dapat dibuka, dan tidak ada laporan audit yang dapat ditemukan di Github-nya. Tidak yakin apakah Anda belum menyelesaikan audit? Atau apakah belum dikirimkan ke Github? @defidotapp Di situs web auditor yang terdaftar, hanya laporan audit pashov di DefiApp, yaitu audit bagian airdrop, yang ditemukan. Laporan audit Pashov menunjukkan bahwa DefiApp mengudarakan sebagian kode, dan menemukan total 1 berisiko tinggi, 2 berisiko sedang, dan 10 berisiko rendah. Semua kecuali 2 masalah berisiko rendah diselesaikan. ➤StandX @StandX_Official ❚ Pengenalan Proyek Dex berjangka abadi, saat ini dikenal mendukung rantai Solana dan BSC. ❚ Skala ekologis Menurut situs web resmi StandX, StandX memiliki $TVL 2297 juta, total 30.468 transaksi di rantai, dan 7.798 peserta aktif. ❚ Auditor kode Kode StandX terdiri dari dua bagian, rantai EVM dan tepi Solana, yang semuanya diaudit ganda oleh RigSec dan WatchPug. RigSec adalah perusahaan yang berfokus pada keamanan aset digital, dan pasar utamanya saat ini berada di Asia, dan proyek-proyek yang diaudit termasuk edgeX Exchange. WatchPug adalah perusahaan audit keamanan blockchain yang berfokus pada audit kode protokol DeFi, proyek NFT, dan aplikasi Web3. Proyek yang diaudit termasuk Equilibria Finance, Penpie, dan lainnya. ❚ Laporan audit Kode rantai solana dan EVM StandX diaudit oleh 2 auditor, dan laporan tersebut menunjukkan bahwa semua risiko sedang atau lebih tinggi ditangani. Ada beberapa rekomendasi risiko rendah, risiko informasi, dan pengoptimalan kode. ➤ Tulis di akhir Secara keseluruhan, Huma sedikit lebih aman. Tidak hanya tingkat risiko yang ditemukan dalam laporan audit kode yang lebih rendah, tetapi program bug bounty telah berjalan selama hampir satu tahun. Ini mungkin menjelaskan mengapa Huma terisi dalam waktu kurang dari 1 jam setiap kali Huma mengembangkan endapan. Kesadaran keamanan dana besar masih tergolong tinggi. 4 laporan audit StandX menunjukkan bahwa tingkat risiko relatif rendah dan di atas sedang telah diselesaikan. Namun, dua perusahaan audit kode yang melakukan audit relatif terkenal, dan ada ketidakpastian tertentu tentang keamanan StandX. Sedangkan untuk DefiApp, ada kemungkinan spekulasi audit bagian lain kecuali kontrak airdrop mungkin belum selesai. Atau mungkin audit telah selesai dan tim sedang mengerjakan perbaikan untuk masalah tersebut. Terakhir, untuk produk DeFi baru, meskipun lulus audit keamanan kode, masih belum dapat memastikan bahwa produk tersebut sepenuhnya aman. Ingatkan semua orang untuk berhati-hati saat berpartisipasi dalam proyek Defi awal, dan bahkan lebih berhati-hati dalam pengoperasian!
Gallery 1
Gallery 2
Gallery 3
Gallery 4
Tampilkan Versi Asli
Sumber: twitter
39
33,78 rb
Konten pada halaman ini disediakan oleh pihak ketiga. Kecuali dinyatakan lain, OKX bukanlah penulis artikel yang dikutip dan tidak mengklaim hak cipta atas materi tersebut. Konten ini disediakan hanya untuk tujuan informasi dan tidak mewakili pandangan OKX. Konten ini tidak dimaksudkan sebagai dukungan dalam bentuk apa pun dan tidak dapat dianggap sebagai nasihat investasi atau ajakan untuk membeli atau menjual aset digital. Sejauh AI generatif digunakan untuk menyediakan ringkasan atau informasi lainnya, konten yang dihasilkan AI mungkin tidak akurat atau tidak konsisten. Silakan baca artikel yang terkait untuk informasi lebih lanjut. OKX tidak bertanggung jawab atas konten yang dihosting di situs pihak ketiga. Kepemilikan aset digital, termasuk stablecoin dan NFT, melibatkan risiko tinggi dan dapat berfluktuasi secara signifikan. Anda perlu mempertimbangkan dengan hati-hati apakah trading atau menyimpan aset digital sesuai untuk Anda dengan mempertimbangkan kondisi keuangan Anda.