L'ecosistema DEX di SUI #Cetus è stato attaccato, la revisione della sicurezza del codice è davvero sufficiente? Le cause e gli effetti dell'attacco a Cetus non sono ancora chiari, ma possiamo dare un'occhiata alla situazione della revisione della sicurezza del codice di Cetus. Noi non siamo esperti e non possiamo comprendere i dettagli tecnici, ma questo riassunto della revisione è comprensibile. ➤ Revisione di Certik Dalla revisione, Certik ha trovato solo 2 pericoli lievi nel codice di Cetus, entrambi già risolti. Ci sono anche 9 rischi informativi, di cui 6 già risolti. Il punteggio complessivo fornito da Certik è 83.06, mentre il punteggio della revisione del codice è 96. ➤ Altri rapporti di revisione di Cetus (catena SUI) Su Github di Cetus sono elencati 5 rapporti di revisione del codice, escludendo la revisione di Certik. Si presume che il team del progetto sappia che la revisione di Certik è solo una formalità, quindi non l'hanno inclusa. Cetus supporta sia la catena Aptos che SUI, e questi 5 rapporti di revisione provengono da MoveBit, OtterSec e Zellic. MoveBit e OtterSec hanno rispettivamente esaminato il codice di Cetus sulle catene Aptos e SUI, mentre Zellic ha esaminato il codice sulla catena SUI. Poiché l'attacco ha colpito Cetus sulla catena SUI, di seguito considereremo solo il rapporto di revisione di Cetus sulla catena SUI. ❚ Rapporto di revisione di MoveBit Data di caricamento del rapporto su Github: 2023-04-28 Se non comprendiamo i dettagli specifici della revisione, possiamo trovare una tabella simile e vedere il numero di problemi di rischio elencati nel rapporto e la loro situazione di risoluzione. Il rapporto di revisione di MoveBit su Cetus ha trovato 18 problemi di rischio, tra cui 1 problema di rischio fatale, 2 problemi di rischio maggiore, 3 problemi di rischio moderato e 12 problemi di rischio lieve, tutti già risolti. Ci sono più problemi rispetto a quelli trovati da Certik, e Cetus ha già risolto tutti questi problemi. ❚ Rapporto di revisione di OtterSec Data di caricamento del rapporto su Github: 2023-05-12 Il rapporto di revisione di OtterSec su Cetus ha trovato 1 problema di alto rischio, 1 problema di rischio moderato e 7 rischi informativi. Poiché la tabella del rapporto non mostra direttamente la situazione di risoluzione dei problemi di rischio, non farò uno screenshot. Tra questi, i problemi di alto e moderato rischio sono stati risolti. Per i problemi informativi, 2 sono stati risolti, 2 hanno ricevuto patch di riparazione e 3 sono ancora aperti. Dopo aver fatto una ricerca, questi 3 sono: • Problema di incoerenza tra le versioni del codice Sui e Aptos, che potrebbe influenzare l'accuratezza del calcolo dei prezzi delle pool di liquidità. • Mancanza di verifica dello stato di pausa, non viene verificato se la pool di liquidità è in stato di pausa durante lo Swap. Se la pool è in pausa, potrebbe comunque essere possibile effettuare transazioni. • Conversione del tipo u256 in u64, se il valore supera MAX_U64, può causare un overflow, il che potrebbe portare a errori di calcolo durante transazioni di grande valore. Attualmente non è chiaro se l'attacco sia correlato a questi problemi. ❚ Rapporto di revisione di Zellic Data di caricamento del rapporto su Github: aprile 2025 Il rapporto di revisione di Zellic su Cetus ha trovato 3 rischi informativi, tutti non risolti: • Un problema di autorizzazione di una funzione, che consente a chiunque di chiamare per depositare costi in qualsiasi conto partner. Questo sembra non avere rischi, è un deposito, non un prelievo. Quindi Cetus non ha ancora provveduto a risolverlo. • Esiste una funzione obsoleta che viene ancora richiamata, codice ridondante, sembra non avere rischi, ma la conformità del codice non è sufficiente. • Un problema di presentazione UI nei dati di visualizzazione degli NFT, che potrebbe essere gestito con un tipo di carattere, ma Cetus ha utilizzato un tipo di dati TypeName più complesso nel linguaggio Move. Questo non è un problema e potrebbe significare che in futuro Cetus svilupperà altre funzionalità per gli NFT. In generale, Zellic ha trovato 3 problemi di conformità, che non presentano rischi significativi, ma riguardano la conformità del codice. Dobbiamo ricordare queste tre agenzie di revisione: MoveBit, OtterSec e Zellic. Poiché la maggior parte delle agenzie di revisione sul mercato è specializzata in revisione EVM, queste tre agenzie sono specializzate nella revisione del codice del linguaggio Move. ➤ Revisione e livello di sicurezza (prendendo come esempio i nuovi DEX) In primo luogo, i progetti che non sono stati sottoposti a revisione del codice presentano un certo rischio di Rug. Dopotutto, se non sono disposti a pagare per questa revisione, è difficile credere che abbiano intenzioni di lungo termine. In secondo luogo, la revisione di Certik è in realtà una "revisione basata su relazioni". Perché si chiama "revisione basata su relazioni"? Certik ha una collaborazione molto stretta con coinmarketcap. Nella pagina del progetto di coinmarketcap c'è un'icona di revisione, cliccando si accede alla piattaforma di navigazione di Certik, skynet. Coinmarketcap, essendo una piattaforma sotto Binance, ha indirettamente stabilito una relazione di collaborazione tra Certik e Binance. Infatti, la relazione tra Binance e Certik è sempre stata buona, quindi la maggior parte dei progetti che desiderano essere quotati su Binance cercheranno la revisione di Certik. Quindi, se un progetto cerca la revisione di Certik, è probabile che desideri essere quotato su Binance. Tuttavia, la storia dimostra che i progetti revisionati solo da Certik hanno una probabilità non bassa di essere attaccati, come DEXX. Alcuni progetti sono già falliti, come ZKasino. Naturalmente, Certik offre anche altre forme di assistenza alla sicurezza, non solo revisione del codice, ma anche scansioni di siti web, DNS, e altre informazioni di sicurezza al di fuori della revisione del codice. In terzo luogo, molti progetti cercano una o più altre agenzie di revisione di alta qualità per la revisione della sicurezza del codice. In quarto luogo, oltre alla revisione professionale del codice, alcuni progetti avviano anche programmi di ricompensa per vulnerabilità e competizioni di revisione, per raccogliere idee e risolvere vulnerabilità. Poiché l'attacco ha colpito un prodotto DEX, prendiamo come esempio alcuni DEX più recenti: --------------------------- ✦✦✦GMX V2, revisionato da 5 aziende tra cui abdk, certora, dedaub, guardian, sherlock, e ha lanciato un programma di ricompensa per vulnerabilità fino a 5 milioni di dollari. ✦✦✦DeGate, revisionato da 35 aziende tra cui Secbit, Least Authority, Trail of Bits, e ha lanciato un programma di ricompensa per vulnerabilità fino a 1,11 milioni di dollari. ✦✦✦DYDX V4, revisionato da Informal Systems, e ha lanciato un programma di ricompensa per vulnerabilità fino a 5 milioni di dollari. ✦✦✦hyperliquid, revisionato da hyperliquid, e ha lanciato un programma di ricompensa per vulnerabilità fino a 1 milione di dollari. ✦✦UniversalX, revisionato da Certik e un'altra agenzia di revisione esperta (il rapporto di revisione è stato temporaneamente rimosso). ✦GMGN è un caso particolare, non sono riuscito a trovare il rapporto di revisione del codice, ma ha un programma di ricompensa per vulnerabilità fino a 10.000 dollari. ➤ Conclusione Dopo aver esaminato la situazione della revisione della sicurezza del codice di questi DEX, possiamo notare che anche DEX come Cetus, revisionato da 3 agenzie di revisione, può comunque essere attaccato. La revisione da parte di più soggetti, insieme a programmi di ricompensa per vulnerabilità o competizioni di revisione, offre una relativa garanzia di sicurezza. Tuttavia, per alcuni nuovi protocolli DeFi, ci sono ancora problemi non risolti nella revisione del codice, ed è per questo che Bee Brother presta particolare attenzione alla situazione della revisione del codice dei nuovi protocolli DeFi.