SUI Ecosystem DEX #Cetus Er kodesikkerhetsrevisjon virkelig tilstrekkelig når den blir angrepet? Årsaken og virkningen av angrepet på Cetus er ennå ikke klare, men vi kan først ta en titt på kodesikkerhetsrevisjonen av Cetus. For de uinnvidde kan vi ikke forstå den spesifikke teknologien, men dette revisjonssammendraget kan forstås. ➤ Certiks revisjon Certiks kodesikkerhetsrevisjon av Cetus fant bare 2 mindre farer som ble løst. Det er også 9 informasjonsrisikoer, 6 løst. Certik ga en samlet vurdering på 83,06 og en koderevisjonsscore på 96. ➤ Andre revisjonsrapporter fra Cetus (SUI Chain) Totalt 5 koderevisjonsrapporter er oppført på Cetus' Github, unntatt Certiks revisjon. Det er anslått at prosjektgruppen også visste at Certiks revisjon var en formalitet, så den inkluderte ikke denne rapporten. Cetus støtter både Aptos- og SUI-kjeder, og de 5 revisjonsrapportene er fra henholdsvis MoveBit, OtterSec og Zellic. Blant dem reviderer MoveBit og OtterSec Cetus sin kode på henholdsvis Aptos- og SUI-kjedene, og Zellic bør også revidere koden på SUI-kjeden. Fordi det var Cetus på SUI-kjeden som ble angrepet denne gangen, vil vi bare se på revisjonsrapporten til Cetus på SUI-kjeden nedenfor. ❚ Revisjonsrapport fra MoveBit Rapporten ble lastet opp til Github 2023-04-28 Hvis vi ikke forstår det spesifikke innholdet i revisjonen, kan vi finne en tabell som denne for å se antall risikoproblemer oppført i rapporten på hvert nivå, og hvor godt de er løst. MoveBis revisjonsrapport om Cetust fant totalt 18 risikoproblemer, inkludert 1 dødelig risikoproblem, 2 store risikoproblemer, 3 middels risikoproblemer og 12 milde risikoproblemer, som alle er løst. Det er flere problemer enn Certik har funnet, og Cetus har løst dem alle. ❚ Revisjonsrapport fra OtterSec Rapporten ble lastet opp til Github 12.05.2023 OtterSecs revisjonsrapport om Cetus fant totalt 1 høyrisikoproblem, 1 middels risikoproblem og 7 informasjonsrisikoer, og skjermbildene ble ikke tatt fordi rapporttabellen ikke direkte viste løsningen på risikoproblemet. Blant dem er både høyrisiko- og middels risikoproblemer løst. Informasjonsrisikoproblemer, 2 løst, 2 faste oppdateringer sendt inn og 3 til. Etter en grov studie er disse 3: •Koden for Sui- og Aptos-versjonene er inkonsekvent, noe som kan påvirke nøyaktigheten av prisberegningen av likviditetspooler. • Mangel på satt tilstandsverifisering på pause, ingen verifisering av om likviditetspoolen er i satt tilstand på pause på byttetidspunktet. Hvis poolen er suspendert, kan det fortsatt være mulig å handle. • Konverter U256-type til U64-type, hvis verdien overstiger MAX_U64 vil det føre til overløp, noe som kan føre til beregningsfeil ved store transaksjoner. Det er usikkert om angrepet er relatert til de ovennevnte problemene. ❚ Revisjonsrapport fra Zellic Rapporten ble lastet opp til Github i april 2025 Zellics revisjonsrapport om Cetus identifiserte tre informasjonsrisikoer, hvorav ingen ble løst: • Et funksjonsautorisasjonsproblem som lar hvem som helst ringe for å sette inn gebyrer på en hvilken som helst partnerkonto. Det ser ikke ut til å være risikabelt, det er å spare penger, ikke å ta ut penger. Så Cetus fikset det ikke foreløpig. • Det er en funksjon som fortsatt refereres til av en utdatert generasjon, og koden er overflødig, noe som ser ut til å være risikabelt, men koden er ikke foreskrivende nok. • Et av UI-gjengivelsesproblemene i NFT-visningsdataene kunne ha vært tegnbasert, men Cetus brukte den mer komplekse TypeName-datatypen i Move-språket. Dette er ikke et problem, og det er mulig at Cetus vil utvikle andre funksjoner for NFT-er i fremtiden. Totalt sett fant Zellic 3 underproblemer med ozonlaget, som i utgangspunktet er risikofrie og tilhører kodespesifikasjonsaspektet. Vi må huske disse tre revisorene: MoveBit, OtterSec, Zellic. Fordi de fleste revisorene på markedet er gode på EVM-revisjoner, tilhører disse tre revisorene Move-språkkoderevisorene. ➤ Revisjons- og sikkerhetsnivå (Ta den nye DEX som et eksempel) For det første er prosjekter som ikke har blitt revidert av kode utsatt for en viss Rug-risiko. Tross alt er han ikke engang villig til å betale for denne revisjonen, og det er vanskelig for folk å tro at han har et ønske om å operere i lang tid. For det andre er Certik revisjon faktisk en slags "menneskelig revisjon". Hvorfor er det en "menneskelig revisjon", Certik har et veldig tett samarbeid med coinmarketcap. På coinmarketcaps prosjektside er det et revisjonsikon, som klikker på det for å ta deg til Certiks navigasjonsplattform, skynet. coinmarketcap, som en plattform eid av Binance, gjorde det indirekte mulig for Certik å etablere et partnerskap med Binance. Faktisk har Binance og Certik alltid hatt et godt forhold, så de fleste prosjekter som ønsker å liste seg på Binance vil søke Certiks revisjon. Derfor, hvis et prosjekt søker Certiks revisjon, vil det sannsynligvis ønske å notere seg på Binance. Historien har imidlertid vist at sannsynligheten for et angrep på et prosjekt som kun er revidert av Certik ikke er lav, for eksempel DEXX. Det er til og med prosjekter som har vært FUG, for eksempel ZKasino. Selvfølgelig har Certik også noe annen sikkerhetshjelp, ikke bare koderevisjon, Certik vil skanne nettsteder, DNS, etc., og det er noe annen sikkerhetsinformasjon enn koderevisjon. For det tredje vil mange prosjekter søke 1~mer enn én annen revisjonsenhet av høy kvalitet for å utføre revisjoner av kodesikkerhet. For det fjerde, i tillegg til profesjonelle koderevisjoner, vil noen prosjekter også gjennomføre bug bounty-programmer og revisjonskonkurranser for å brainstorme og eliminere sårbarheter. Fordi dette er et DEX-produkt, la oss ta noen nyere DEX-er som eksempler: --------------------------- ✦✦✦GMX V2 er en koderevisjon utført av 5 selskaper, inkludert abdk, certora, dedaub, guardian og sherlock, og lanserte et enkelt bug bounty-program på opptil 5 millioner dollar. ✦✦✦DeGate, totalt 35 selskaper fra Secbit, Least Authority og Trail of Bits gjennomførte koderevisjoner, og lanserte et enkelt bug bounty-program på opptil 1,11 millioner dollar. ✦✦✦DYDX V4 er en kodesikkerhetsrevisjon utført av Informal Systems, og et enkelt bug bounty-program på opptil 5 millioner dollar har blitt lansert. ✦✦✦HyperLiquid utfører kodesikkerhetsrevisjoner av HyperLiquid, og har lansert et enkelt bug bounty-program på opptil 1 million dollar. ✦✦UniversalX er revidert av Certik og en annen ekspertrevisor (den offisielle revisjonsrapporten er midlertidig fjernet fra hyllene) ✦GMGN er spesiell ved at det ikke er funnet noen koderevisjonsrapport, bare et enkelt bug bounty-program på opptil $10 000. ➤ Skriv på slutten Etter å ha gjennomgått kodesikkerhetsrevisjonene av disse DEX-ene, kan vi se at selv DEX-er som Cetus, som er revidert i fellesskap av 3 revisorer, fortsatt er sårbare for angrep. Revisjoner av flere agenter, kombinert med sårbarhetsbelønningsprogrammer eller revisjonskonkurranser, sikrer relativt sikker sikkerhet. For noen nye Defi-protokoller er det imidlertid fortsatt problemer med koderevisjon som ikke er løst, og det er grunnen til at Brother Bee legger spesiell vekt på koderevisjonen av nye Defi-protokoller.