L'ecosistema DEX di SUI #... | TVBee OKX Feed

L'ecosistema DEX di SUI #Cetus è stato attaccato, la revisione della sicurezza del codice è davvero sufficiente? Le cause e gli effetti dell'attacco a Cetus non sono ancora chiari, ma possiamo dare un'occhiata alla situazione della revisione della sicurezza del codice di Cetus. Noi non siamo esperti e non possiamo comprendere i dettagli tecnici, ma questo riassunto della revisione è comprensibile. ➤ Revisione di Certik Dalla revisione, Certik ha trovato solo 2 pericoli lievi nel codice di Cetus, entrambi già risolti. Ci sono anche 9 rischi informativi, di cui 6 già risolti. Il punteggio complessivo fornito da Certik è 83.06, mentre il punteggio della revisione del codice è 96. ➤ Altri rapporti di revisione di Cetus (catena SUI) Su Github di Cetus sono elencati 5 rapporti di revisione del codice, escludendo la revisione di Certik. Si presume che il team del progetto sappia che la revisione di Certik è solo una formalità, quindi non l'hanno inclusa. Cetus supporta sia la catena Aptos che SUI, e questi 5 rapporti di revisione provengono da MoveBit, OtterSec e Zellic. MoveBit e OtterSec hanno rispettivamente esaminato il codice di Cetus sulle catene Aptos e SUI, mentre Zellic ha esaminato il codice sulla catena SUI. Poiché l'attacco ha colpito Cetus sulla catena SUI, di seguito considereremo solo il rapporto di revisione di Cetus sulla catena SUI. ❚ Rapporto di revisione di MoveBit Data di caricamento del rapporto su Github: 2023-04-28 Se non comprendiamo i dettagli specifici della revisione, possiamo trovare una tabella simile e vedere il numero di problemi di rischio elencati nel rapporto e la loro situazione di risoluzione. Il rapporto di revisione di MoveBit su Cetus ha trovato 18 problemi di rischio, tra cui 1 problema di rischio fatale, 2 problemi di rischio maggiore, 3 problemi di rischio moderato e 12 problemi di rischio lieve, tutti già risolti. Ci sono più problemi rispetto a quelli trovati da Certik, e Cetus ha già risolto tutti questi problemi. ❚ Rapporto di revisione di OtterSec Data di caricamento del rapporto su Github: 2023-05-12 Il rapporto di revisione di OtterSec su Cetus ha trovato 1 problema di alto rischio, 1 problema di rischio moderato e 7 rischi informativi. Poiché la tabella del rapporto non mostra direttamente la situazione di risoluzione dei problemi di rischio, non farò uno screenshot. Tra questi, i problemi di alto e moderato rischio sono stati risolti. Per i problemi informativi, 2 sono stati risolti, 2 hanno ricevuto patch di riparazione e 3 sono ancora aperti. Dopo aver fatto una ricerca, questi 3 sono: • Problema di incoerenza tra le versioni del codice Sui e Aptos, che potrebbe influenzare l'accuratezza del calcolo dei prezzi delle pool di liquidità. • Mancanza di verifica dello stato di pausa, non viene verificato se la pool di liquidità è in stato di pausa durante lo Swap. Se la pool è in pausa, potrebbe comunque essere possibile effettuare transazioni. • Conversione del tipo u256 in u64, se il valore supera MAX_U64, può causare un overflow, il che potrebbe portare a errori di calcolo durante transazioni di grande valore. Attualmente non è chiaro se l'attacco sia correlato a questi problemi. ❚ Rapporto di revisione di Zellic Data di caricamento del rapporto su Github: aprile 2025 Il rapporto di revisione di Zellic su Cetus ha trovato 3 rischi informativi, tutti non risolti: • Un problema di autorizzazione di una funzione, che consente a chiunque di chiamare per depositare costi in qualsiasi conto partner. Questo sembra non avere rischi, è un deposito, non un prelievo. Quindi Cetus non ha ancora provveduto a risolverlo. • Esiste una funzione obsoleta che viene ancora richiamata, codice ridondante, sembra non avere rischi, ma la conformità del codice non è sufficiente. • Un problema di presentazione UI nei dati di visualizzazione degli NFT, che potrebbe essere gestito con un tipo di carattere, ma Cetus ha utilizzato un tipo di dati TypeName più complesso nel linguaggio Move. Questo non è un problema e potrebbe significare che in futuro Cetus svilupperà altre funzionalità per gli NFT. In generale, Zellic ha trovato 3 problemi di conformità, che non presentano rischi significativi, ma riguardano la conformità del codice. Dobbiamo ricordare queste tre agenzie di revisione: MoveBit, OtterSec e Zellic. Poiché la maggior parte delle agenzie di revisione sul mercato è specializzata in revisione EVM, queste tre agenzie sono specializzate nella revisione del codice del linguaggio Move. ➤ Revisione e livello di sicurezza (prendendo come esempio i nuovi DEX) In primo luogo, i progetti che non sono stati sottoposti a revisione del codice presentano un certo rischio di Rug. Dopotutto, se non sono disposti a pagare per questa revisione, è difficile credere che abbiano intenzioni di lungo termine. In secondo luogo, la revisione di Certik è in realtà una "revisione basata su relazioni". Perché si chiama "revisione basata su relazioni"? Certik ha una collaborazione molto stretta con coinmarketcap. Nella pagina del progetto di coinmarketcap c'è un'icona di revisione, cliccando si accede alla piattaforma di navigazione di Certik, skynet. Coinmarketcap, essendo una piattaforma sotto Binance, ha indirettamente stabilito una relazione di collaborazione tra Certik e Binance. Infatti, la relazione tra Binance e Certik è sempre stata buona, quindi la maggior parte dei progetti che desiderano essere quotati su Binance cercheranno la revisione di Certik. Quindi, se un progetto cerca la revisione di Certik, è probabile che desideri essere quotato su Binance. Tuttavia, la storia dimostra che i progetti revisionati solo da Certik hanno una probabilità non bassa di essere attaccati, come DEXX. Alcuni progetti sono già falliti, come ZKasino. Naturalmente, Certik offre anche altre forme di assistenza alla sicurezza, non solo revisione del codice, ma anche scansioni di siti web, DNS, e altre informazioni di sicurezza al di fuori della revisione del codice. In terzo luogo, molti progetti cercano una o più altre agenzie di revisione di alta qualità per la revisione della sicurezza del codice. In quarto luogo, oltre alla revisione professionale del codice, alcuni progetti avviano anche programmi di ricompensa per vulnerabilità e competizioni di revisione, per raccogliere idee e risolvere vulnerabilità. Poiché l'attacco ha colpito un prodotto DEX, prendiamo come esempio alcuni DEX più recenti: --------------------------- ✦✦✦GMX V2, revisionato da 5 aziende tra cui abdk, certora, dedaub, guardian, sherlock, e ha lanciato un programma di ricompensa per vulnerabilità fino a 5 milioni di dollari. ✦✦✦DeGate, revisionato da 35 aziende tra cui Secbit, Least Authority, Trail of Bits, e ha lanciato un programma di ricompensa per vulnerabilità fino a 1,11 milioni di dollari. ✦✦✦DYDX V4, revisionato da Informal Systems, e ha lanciato un programma di ricompensa per vulnerabilità fino a 5 milioni di dollari. ✦✦✦hyperliquid, revisionato da hyperliquid, e ha lanciato un programma di ricompensa per vulnerabilità fino a 1 milione di dollari. ✦✦UniversalX, revisionato da Certik e un'altra agenzia di revisione esperta (il rapporto di revisione è stato temporaneamente rimosso). ✦GMGN è un caso particolare, non sono riuscito a trovare il rapporto di revisione del codice, ma ha un programma di ricompensa per vulnerabilità fino a 10.000 dollari. ➤ Conclusione Dopo aver esaminato la situazione della revisione della sicurezza del codice di questi DEX, possiamo notare che anche DEX come Cetus, revisionato da 3 agenzie di revisione, può comunque essere attaccato. La revisione da parte di più soggetti, insieme a programmi di ricompensa per vulnerabilità o competizioni di revisione, offre una relativa garanzia di sicurezza. Tuttavia, per alcuni nuovi protocolli DeFi, ci sono ancora problemi non risolti nella revisione del codice, ed è per questo che Bee Brother presta particolare attenzione alla situazione della revisione del codice dei nuovi protocolli DeFi.

Quanto sono sicuri i progetti DeFi che le persone vanno pazze per essere coinvolte nei loro fondi? La sicurezza non è cosa da poco! Soprattutto per i prodotti DeFi/PayFi/RwaFi, in cui i fondi degli utenti vengono depositati o autorizzati, la sicurezza è sempre la prima e la più importante. I prodotti DeFi maturi come Uniswap, GMX e DyDx sono stati testati dal mercato (hacker) per molto tempo e la loro sicurezza è relativamente più elevata. Tuttavia, c'è un livello di incertezza più elevato nelle nuove applicazioni DeFi. Ecco perché, i nuovi prodotti DeFi avranno un rendimento o un ritorno di airdrop relativamente più elevato. Perché è una compensazione del rischio per i primi partecipanti. Sebbene i controlli di sicurezza del codice non possano garantirne completamente la sicurezza, possono garantirne la sicurezza. In questo articolo, daremo un'occhiata a diversi nuovi ...... DeFi/PayFi/RwaFi Gestione della sicurezza, ad esempio l'audit del codice di prodotti simili. ➤Huma @humafinance ❚ Introduzione al progetto Huma è un progetto PayFi basato sull'ecosistema Solana e Stellar, che mira a reinventare pagamenti, rendimenti e finanziamenti sulla blockchain. ❚ Bilancia ecologica Al momento, Huma è in vantaggio rispetto al TGE e c'è un limite all'entità dei fondi per la partecipazione ecologica. Secondo il sito ufficiale di Huma, il protocollo ha attualmente una liquidità attiva totale di 104 milioni di dollari e un volume di scambi totale di 4,3 miliardi di dollari. ❚ Revisore del codice: Halborn Fondata nel 2019, Halborn ha verificato il codice di molti progetti simili come le catene pubbliche e la DeFi, come: Thorchain, Taiko, Core Chain, Story, Plume, Solayer, Zetachain, Avalanche, Persistenct, ecc. ❚ Rapporto di audit Secondo il rapporto di audit, Huma ha identificato un totale di 2 problemi a basso rischio che sono stati risolti. 2 I rischi informativi sono noti. Non è stato identificato alcun rischio moderato o superiore. ❚ Bug bounty e concorsi di sicurezza Nel luglio 2026, Huma ha lanciato un programma di bug bounty da $ 50,000 sulla piattaforma della cantina. Cantina è una piattaforma di marketplace di sicurezza Web3 fondata nel 2023 che offre servizi di sicurezza come concorsi di sicurezza, bug bounty, revisioni di sicurezza e altro ancora. Progetti noti come Uniswap, Morpho, Pendle, PancakeSwap e altri hanno lanciato programmi di bug bounty o concorsi di sicurezza su di essi. ➤DefiApp @defidotapp ❚ Introduzione al progetto DefiApp è una DeFi aggregata basata sull'astrazione della catena, che include spot swap, futures perpetui e applicazioni di prestito. ❚ Bilancia ecologica Secondo DeFillama, DefiApp ha un volume di scambi aggregato nelle 24 ore di 137,38 milioni di dollari. Il volume di scambi aggregato giornaliero più alto è stato di 225,76 milioni di dollari. ❚ Revisori di codice La documentazione DefiApp mostra che diverse parti sono controllate da diverse agenzie: ✦ Sezione Infrastrutture: Sela Sela è un'organizzazione di servizi di sicurezza cloud i cui partner includono Microsoft, Google, AWZ e Alibaba. ✦ Sezione Applicazione Web: Halborn ✦ Parte smart contract: Cantina ✦ Parte airdrop: pashov Pashov Audit Group è una società di sicurezza blockchain che ha verificato progetti come DeFi, Gaming e Chain Split, come Sushi, 1inch, Aave, Ethena, Radiant e altri. ❚ Rapporto di audit Il link al report di audit del codice nella documentazione di DefiApp è collegato al suo Github, ma il link non può essere aperto e non è possibile trovare alcun report di audit nel suo Github. Non sei sicuro di non aver ancora completato l'audit? O non è ancora stato inviato a Github? @defidotapp Sui siti web dei revisori elencati è stato trovato solo il rapporto di audit di Pashov su DefiApp, ovvero l'audit della parte di airdrop. Il rapporto di audit di Pashov mostra che DefiApp ha lanciato parte del codice e ha trovato un totale di 1 ad alto rischio, 2 a medio rischio e 10 a basso rischio. Tutti i problemi a basso rischio, tranne 2, sono stati risolti. ➤StandX @StandX_Official ❚ Introduzione al progetto DEX sui futures perpetui, attualmente noto per supportare le catene Solana e BSC. ❚ Bilancia ecologica Secondo il sito ufficiale di StandX, StandX ha $TVL 2297 milioni, per un totale di 30.468 transazioni sulla catena e 7.798 partecipanti attivi. ❚ Revisori di codice Il codice di StandX è composto da due parti, la catena EVM e l'edge Solana, tutte sottoposte a doppio audit da RigSec e WatchPug. RigSec è un'azienda focalizzata sulla sicurezza degli asset digitali e il suo mercato principale è attualmente in Asia, e i suoi progetti controllati includono edgeX Exchange. WatchPug è una società di audit della sicurezza blockchain focalizzata sull'audit del codice di protocolli DeFi, progetti NFT e applicazioni Web3. I progetti controllati includono Equilibria Finance, Penpie e altri. ❚ Rapporto di audit Solana e EVM chaincode di StandX sono stati verificati da 2 revisori e il rapporto ha mostrato che tutti i rischi moderati o superiori sono stati affrontati. Esistono diversi rischi a basso rischio, a scopo informativo e consigli per l'ottimizzazione del codice. ➤ Scrivi alla fine Nel complesso, Huma è un po' più sicuro. Non solo il livello di rischio riscontrato nel rapporto di verifica del codice è inferiore, ma il programma di bug bounty è in esecuzione da quasi un anno. Questo potrebbe spiegare perché Huma si riempie in meno di 1 ora ogni volta che Huma sviluppa un deposito. La consapevolezza della sicurezza dei grandi fondi è ancora relativamente alta. I 4 rapporti di audit di StandX mostrano che il livello di rischio è relativamente basso e che la risoluzione è superiore a quella moderata. Tuttavia, le due società di controllo del codice che hanno condotto l'audit sono relativamente note e c'è una certa incertezza sulla sicurezza di StandX. Per quanto riguarda DefiApp, è possibile che la speculazione di audit di altre parti, ad eccezione del contratto di airdrop, non sia ancora stata completata. O forse l'audit è stato completato e il team sta lavorando a una soluzione per il problema. Infine, per un nuovo prodotto DeFi, anche se supera un audit di sicurezza del codice, non può ancora essere sicuro di essere completamente sicuro. Ricorda a tutti di essere cauti quando partecipano ai primi progetti DeFi, e di essere ancora più cauti durante il funzionamento!

33.744

Il contenuto di questa pagina è fornito da terze parti. Salvo diversa indicazione, OKX non è l'autore degli articoli citati e non rivendica alcun copyright sui materiali. Il contenuto è fornito solo a scopo informativo e non rappresenta le opinioni di OKX. Non intende essere un'approvazione di alcun tipo e non deve essere considerato un consiglio di investimento o una sollecitazione all'acquisto o alla vendita di asset digitali. Nella misura in cui l'IA generativa viene utilizzata per fornire riepiloghi o altre informazioni, tale contenuto generato dall'IA potrebbe essere impreciso o incoerente. Leggi l'articolo collegato per ulteriori dettagli e informazioni. OKX non è responsabile per i contenuti ospitati su siti di terze parti. Gli holding di asset digitali, tra cui stablecoin e NFT, comportano un elevato grado di rischio e possono fluttuare notevolmente. Dovresti valutare attentamente se effettuare il trading o detenere asset digitali è adatto a te alla luce della tua situazione finanziaria.