SUI Ecosystem DEX #Cetus A auditoria de segurança de código é realmente suficiente quando atacada? A causa e o impacto do ataque ao Cetus ainda não estão claros, mas podemos primeiro dar uma olhada na auditoria de segurança do código do Cetus. Para os não iniciados, não podemos entender a tecnologia específica, mas este resumo de auditoria pode ser entendido. ➤ Auditoria da Certik A auditoria de segurança do código da Certik da Cetus encontrou apenas 2 perigos menores que foram resolvidos. Existem também 9 riscos informacionais, 6 resolvidos. A Certik deu uma classificação geral de 83,06 e uma pontuação de auditoria de código de 96. ➤ Outros relatórios de auditoria da Cetus (SUI Chain) Um total de 5 relatórios de auditoria de código estão listados no Github da Cetus, excluindo a auditoria da Certik. Estima-se que a equipe do projeto também sabia que a auditoria da Certik era uma formalidade, por isso não incluiu este relatório. A Cetus suporta as cadeias Aptos e SUI, e os 5 relatórios de auditoria são da MoveBit, OtterSec e Zellic, respectivamente. Entre eles, MoveBit e OtterSec auditam o código da Cetus nas cadeias Aptos e SUI, respectivamente, e Zellic também deve auditar o código na cadeia SUI. Como foi a Cetus na cadeia SUI que foi atacada desta vez, veremos apenas o relatório de auditoria da Cetus na cadeia SUI abaixo. ❚ Relatório de auditoria da MoveBit O relatório foi carregado no Github em 28/04/2023 Se não entendermos o conteúdo específico da auditoria, podemos encontrar uma tabela como esta para ver o número de problemas de risco listados no relatório em cada nível e quão bem eles são resolvidos. O relatório de auditoria da MoveBi sobre a Cetust encontrou um total de 18 problemas de risco, incluindo 1 problema de risco fatal, 2 problemas de risco maior, 3 problemas de risco médio e 12 problemas de risco leve, todos resolvidos. Existem mais problemas do que Certik encontrou, e Cetus resolveu todos eles. ❚ Relatório de auditoria da OtterSec O relatório foi carregado no Github em 12/05/2023 O relatório de auditoria da OtterSec sobre a Cetus encontrou um total de 1 problema de alto risco, 1 problema de médio risco e 7 riscos informativos, e as capturas de tela não foram tiradas porque a tabela do relatório não mostrava diretamente a resolução do problema de risco. Entre eles, foram resolvidos problemas de alto e médio risco. Problemas de risco informativo, 2 resolvidos, 2 patches corrigidos enviados e mais 3. Após um estudo aproximado, esses 3 são: •O código das versões Sui e Aptos é inconsistente, o que pode afetar a precisão do cálculo de preços dos pools de liquidez. • Falta de verificação de estado pausado, nenhuma verificação se o pool de liquidez está em um estado pausado no momento da troca. Se o pool estiver suspenso, ainda pode ser possível negociar. • Converta o tipo U256 para o tipo U64, se o valor exceder MAX_U64 causará estouro, o que pode levar a erros de cálculo no caso de grandes transações. É incerto se o ataque está relacionado às questões acima. ❚ Relatório de auditoria da Zellic O relatório foi carregado no Github em abril de 2025 O relatório de auditoria de Zellic sobre a Cetus identificou três riscos informacionais, nenhum dos quais foi corrigido: • Um problema de autorização de função que permite que qualquer pessoa ligue para depositar taxas em qualquer conta de parceiro. Não parece ser arriscado, é economizar dinheiro, não sacar dinheiro. Então Cetus não consertou por enquanto. • Existe uma função que ainda é referenciada por uma geração obsoleta, e o código é redundante, o que parece ser arriscado, mas o código não é prescritivo o suficiente. • Um dos problemas de renderização da interface do usuário nos dados de exibição do NFT poderia ter sido baseado em caracteres, mas a Cetus usou o tipo de dados TypeName mais complexo na linguagem Move. Isso não é um problema e é possível que a Cetus desenvolva outros recursos para NFTs no futuro. No geral, Zellic encontrou 3 sub-problemas da camada de ozônio, que são basicamente livres de riscos e pertencem ao aspecto de especificação de código. Temos que lembrar esses três auditores: MoveBit, OtterSec, Zellic. Como a maioria dos auditores do mercado é boa em auditorias EVM, esses três auditores pertencem aos auditores de código de linguagem Move. ➤ Auditoria e nível de segurança (tome o novo DEX como exemplo) Em primeiro lugar, os projetos que não foram auditados por código estão sujeitos a uma certa quantidade de risco de Rug. Afinal, ele nem está disposto a pagar por essa auditoria, e é difícil para as pessoas acreditarem que ele tenha o desejo de operar por muito tempo. Em segundo lugar, a auditoria Certik é, na verdade, uma espécie de "auditoria humana". Por que é uma "auditoria humana", a Certik tem uma cooperação muito próxima com a coinmarketcap. Na página do projeto do coinmarketcap há um ícone de auditoria, que clica nele para levá-lo à plataforma de navegação da Certik, skynet. O coinmarketcap, como uma plataforma de propriedade da Binance, indiretamente permitiu que a Certik estabelecesse uma parceria com a Binance. Na verdade, a Binance e a Certik sempre tiveram um bom relacionamento, então a maioria dos projetos que desejam listar na Binance buscará a auditoria da Certik. Portanto, se um projeto busca a auditoria da Certik, é provável que queira listar na Binance. No entanto, a história mostra que a probabilidade de um ataque a um projeto auditado apenas pela Certik não é baixa, como o DEXX. Existem até projetos que foram FUG, como o ZKasino. Claro, o Certik também tem alguma outra ajuda de segurança, não apenas auditoria de código, o Certik verificará sites, DNS, etc., e há algumas informações de segurança além da auditoria de código. Em terceiro lugar, muitos projetos buscarão 1~mais de uma outra entidade de auditoria de alta qualidade para realizar auditorias de segurança de código. Em quarto lugar, além das auditorias de código profissionais, alguns projetos também realizarão programas de recompensas por bugs e competições de auditoria para debater e eliminar vulnerabilidades. Como este é um produto DEX, vamos pegar alguns DEXs mais recentes como exemplos: --------------------------- ✦✦✦GMX V2 é uma auditoria de código conduzida por 5 empresas, incluindo abdk, certora, dedaub, guardian e sherlock, e lançou um único programa de recompensas por bugs de até US$ 5 milhões. ✦✦✦DeGate, um total de 35 empresas da Secbit, Least Authority e Trail of Bits conduziram auditorias de código e lançaram um único programa de recompensas por bugs de até US$ 1,11 milhão. ✦✦✦DYDX V4 é uma auditoria de segurança de código conduzida pela Informal Systems, e um único programa de recompensas por bugs de até US$ 5 milhões foi lançado. ✦✦✦A HyperLiquid realiza auditorias de segurança de código pela HyperLiquid e lançou um único programa de recompensas por bugs de até US$ 1 milhão. ✦✦O UniversalX é auditado pela Certik e por outro auditor especialista (o relatório oficial de auditoria foi temporariamente removido das prateleiras) ✦GMGN é especial porque não há relatório de auditoria de código encontrado, apenas um único programa de recompensas por bugs de até US$ 10,000. ➤ Escreva no final Depois de revisar as auditorias de segurança de código dessas DEXs, podemos ver que mesmo DEXs como a Cetus, que são auditadas em conjunto por 3 auditores, ainda são vulneráveis a ataques. Auditorias multiagentes, combinadas com programas de recompensas de vulnerabilidade ou competições de auditoria, garantem segurança relativamente segura. No entanto, para alguns novos protocolos Defi, ainda existem problemas na auditoria de código que não foram corrigidos, e é por isso que a Brother Bee presta atenção especial à auditoria de código de novos protocolos Defi.