O DEX da ecologia SUI #Cetus ... | TVBee OKX Feed

O DEX da ecologia SUI #Cetus foi atacado, a auditoria de segurança do código é realmente suficiente? As razões e impactos do ataque ao Cetus ainda não estão claros, mas podemos primeiro olhar para a situação da auditoria de segurança do código do Cetus. Para leigos, não conseguimos entender as questões técnicas específicas, mas este resumo da auditoria é compreensível. ➤ Auditoria da Certik Vamos ver, a auditoria de segurança do código do Cetus pela Certik encontrou apenas 2 riscos leves, que já foram resolvidos. Além disso, há 9 riscos informativos, dos quais 6 já foram resolvidos. A pontuação geral dada pela Certik é 83,06, e a pontuação da auditoria de código é 96. ➤ Outros relatórios de auditoria do Cetus (cadeia SUI) No Github do Cetus, estão listados 5 relatórios de auditoria de código, excluindo a auditoria da Certik. Presumivelmente, a equipe do projeto também sabe que a auditoria da Certik é apenas uma formalidade, por isso não incluiu este relatório. O Cetus suporta simultaneamente as cadeias Aptos e SUI, e esses 5 relatórios de auditoria vêm de MoveBit, OtterSec e Zellic. MoveBit e OtterSec auditaram o código do Cetus nas cadeias Aptos e SUI, respectivamente, enquanto a auditoria da Zellic também deve ser do código na cadeia SUI. Como o Cetus atacado é da cadeia SUI, vamos analisar apenas o relatório de auditoria do Cetus na cadeia SUI. ❚ Relatório de auditoria da MoveBit Data de upload do relatório no Github: 2023-04-28 Se não entendemos o conteúdo específico da auditoria, podemos encontrar uma tabela como esta, que mostra a quantidade de problemas de risco em diferentes níveis listados no relatório e sua situação de resolução. O relatório de auditoria da MoveBit para o Cetus encontrou um total de 18 problemas de risco, incluindo 1 problema de risco crítico, 2 problemas de risco maior, 3 problemas de risco moderado e 12 problemas de risco leve, todos já resolvidos. Isso é mais do que os problemas encontrados pela Certik, e o Cetus já resolveu todos esses problemas. ❚ Relatório de auditoria da OtterSec Data de upload do relatório no Github: 2023-05-12 O relatório de auditoria da OtterSec para o Cetus encontrou 1 problema de alto risco, 1 problema de risco moderado e 7 riscos informativos. Como a tabela do relatório não mostra diretamente a situação de resolução dos problemas de risco, não farei uma captura de tela. Dentre eles, o problema de alto risco e o problema de risco moderado já foram resolvidos. Dos problemas informativos, 2 foram resolvidos, 2 tiveram correções enviadas, e 3 ainda estão pendentes. Após uma análise, esses 3 são: • Problema de inconsistência de versão entre Sui e Aptos, que pode afetar a precisão do cálculo de preços do pool de liquidez. • Falta de verificação do estado de pausa, que não valida se o pool de liquidez está em estado de pausa durante a troca. Se o pool estiver pausado, ainda pode ser possível negociar. • Conversão do tipo u256 para u64, que pode causar overflow se o valor exceder MAX_U64, podendo resultar em erros de cálculo em transações de grande valor. Atualmente, não está claro se o ataque está relacionado a esses problemas. ❚ Relatório de auditoria da Zellic Data de upload do relatório no Github: abril de 2025 O relatório de auditoria da Zellic para o Cetus encontrou 3 riscos informativos, que não foram corrigidos: • Um problema de autorização de função, que permite que qualquer pessoa chame uma função para depositar taxas em qualquer conta parceira. Isso parece não ter risco, é um depósito, não um saque. Portanto, o Cetus ainda não o corrigiu. • Existe uma função obsoleta que ainda está sendo referenciada, resultando em redundância de código, que aparentemente não apresenta risco, mas a conformidade do código não é ideal. • Um problema de apresentação de UI nos dados de exibição de NFT, que poderia ter sido feito com um tipo de caractere, mas o Cetus usou um tipo de dados TypeName mais complexo da linguagem Move. Isso não é um grande problema e pode ser que o Cetus desenvolva outras funcionalidades para NFTs no futuro. De modo geral, a Zellic encontrou 3 problemas de conformidade, que basicamente não apresentam riscos, mas são questões de conformidade de código. Devemos lembrar dessas três instituições de auditoria: MoveBit, OtterSec e Zellic. Porque a maioria das instituições de auditoria no mercado é especializada em auditoria EVM, essas três são especializadas em auditoria de código da linguagem Move. ➤ Auditoria e nível de segurança (usando novos DEX como exemplo) Primeiro, projetos que não passaram por auditoria de código têm um certo risco de rug pull. Afinal, se eles não estão dispostos a gastar dinheiro em auditoria, é difícil acreditar que têm a intenção de operar a longo prazo. Em segundo lugar, a auditoria da Certik é, na verdade, uma "auditoria de favores". Por que chamamos de "auditoria de favores"? A Certik tem uma colaboração muito próxima com a CoinMarketCap. Na página do projeto da CoinMarketCap, há um ícone de auditoria que, ao ser clicado, leva à plataforma de navegação da Certik, Skynet. A CoinMarketCap, como plataforma sob a Binance, indiretamente estabelece uma relação de cooperação entre a Certik e a Binance. De fato, a relação entre a Binance e a Certik sempre foi boa, portanto, a maioria dos projetos que desejam ser listados na Binance buscará a auditoria da Certik. Assim, se um projeto busca a auditoria da Certik, é muito provável que queira ser listado na Binance. No entanto, a história prova que a probabilidade de projetos auditados apenas pela Certik serem atacados não é baixa, como o DEXX. Alguns projetos já faliram, como o ZKasino. Claro, a Certik também oferece outras formas de segurança, não apenas auditoria de código, mas também escaneia sites, DNS, entre outros, fornecendo algumas informações de segurança além da auditoria de código. Em terceiro lugar, muitos projetos buscam uma ou mais outras instituições de auditoria de qualidade para realizar auditorias de segurança de código. Em quarto lugar, além da auditoria profissional de código, alguns projetos também implementam programas de recompensas por bugs e competições de auditoria, promovendo a colaboração e eliminando vulnerabilidades. Como o produto atacado é um DEX, vamos usar alguns DEX mais novos como exemplo: --------------------------- ✦✦✦ GMX V2, auditado por 5 empresas: abdk, certora, dedaub, guardian, sherlock, e lançou um programa de recompensas por bugs com um valor máximo de 5 milhões de dólares. ✦✦✦ DeGate, auditado por 35 empresas: Secbit, Least Authority, Trail of Bits, e lançou um programa de recompensas por bugs com um valor máximo de 1,11 milhão de dólares. ✦✦✦ DYDX V4, auditado por Informal Systems, e lançou um programa de recompensas por bugs com um valor máximo de 5 milhões de dólares. ✦✦✦ hyperliquid, auditado por hyperliquid, e lançou um programa de recompensas por bugs com um valor máximo de 1 milhão de dólares. ✦✦ UniversalX, auditado pela Certik e outra instituição de auditoria especializada (o relatório de auditoria foi temporariamente removido). ✦ GMGN é um caso especial, não encontrei o relatório de auditoria, apenas um programa de recompensas por bugs com um valor máximo de 10 mil dólares. ➤ Considerações finais Após revisar a situação da auditoria de segurança do código desses DEX, podemos perceber que mesmo um DEX como o Cetus, auditado por 3 instituições, ainda pode ser atacado. Auditorias de múltiplas partes, combinadas com programas de recompensas por bugs ou competições de auditoria, oferecem uma segurança relativamente garantida. No entanto, para alguns novos protocolos DeFi, ainda existem problemas não resolvidos nas auditorias de código, e é por isso que o irmão Feng está especialmente atento à situação das auditorias de código dos novos protocolos DeFi.

Quão seguros são os projetos DeFi que as pessoas estão loucas em se envolver em seus fundos? A segurança não é pouca coisa! Especialmente para produtos DeFi/PayFi/RwaFi, onde os fundos do usuário são depositados ou autorizados, a segurança é sempre o primeiro e mais importante. Produtos DeFi maduros como Uniswap, GMX e DyDx têm sido testados pelo mercado (hackers) há muito tempo, e sua segurança é relativamente maior. No entanto, há um nível maior de incerteza em novos aplicativos DeFi. É por isso que os novos produtos DeFi terão um rendimento ou retorno de airdrop relativamente maior. Porque é uma compensação de risco para os primeiros participantes. Embora as auditorias de segurança de código não possam garantir totalmente sua segurança, elas podem garantir relativamente a segurança. Neste artigo, vamos dar uma olhada em vários novos ...... DeFi/PayFi/RwaFi Gestão de segurança, como auditoria de código de produtos semelhantes. ➤Huma @humafinance ❚ Introdução ao Projeto Huma é um projeto PayFi baseado no ecossistema Solana e Stellar, que visa reinventar pagamentos, rendimentos e financiamento no blockchain. ❚ Escala ecológica Atualmente, Huma está à frente da TGE, e existe um limite para a dimensão dos fundos destinados à participação ecológica. De acordo com o site oficial da Huma, o protocolo tem atualmente uma liquidez ativa total de US$ 104 milhões e um volume total de negociação de US$ 4,3 bilhões. ❚ Auditor de código: Halborn Fundada em 2019, Halborn auditou o código de muitos projetos semelhantes, como cadeias públicas e DeFi, tais como: Thorchain, Taiko, Core Chain, Story, Plume, Solayer, Zetachain, Avalanche, Persistenct, etc. ❚ Relatório de auditoria De acordo com o relatório de auditoria, Huma identificou um total de 2 problemas de baixo risco que foram resolvidos. 2 os riscos informacionais são conhecidos. Não foi identificado risco moderado ou superior. ❚ Recompensas por bugs e concursos de segurança Em julho de 2026, Huma lançou um programa de recompensa por bugs de US$ 50.000 na plataforma cantina. Cantina é uma plataforma de mercado de segurança Web3 fundada em 2023 que oferece serviços de segurança, como concursos de segurança, recompensas por bugs, revisões de segurança e muito mais. Projetos bem conhecidos, como Uniswap, Morpho, Pendle, PancakeSwap e outros, lançaram programas de bug bounty ou concursos de segurança neles. ➤DefiApp @defidotapp ❚ Introdução ao Projeto O DefiApp é um DeFi agregado baseado na abstração em cadeia, incluindo swap à vista, futuros perpétuos e aplicativos de empréstimo. ❚ Escala ecológica De acordo com DeFillama, a DefiApp tem um volume de negociação agregado de 24 horas de US$ 137,38 milhões. O maior volume diário agregado de negociação foi de US$ 225,76 milhões. ❚ Auditores de código A documentação do DefiApp mostra que diferentes partes são auditadas por diferentes agências: ✦ Secção de Infraestruturas: Sela A Sela é uma organização de serviços de segurança na nuvem cujos parceiros incluem Microsoft, Google, AWZ e Alibaba. ✦ Seção de Aplicação Web: Halborn ✦ Parte de contrato inteligente: Cantina ✦ Parte Airdrop: pashov O Pashov Audit Group é uma empresa de segurança blockchain que auditou projetos como DeFi, Gaming e Chain Split, como Sushi, 1inch, Aave, Ethena, Radiant, e muito mais. ❚ Relatório de auditoria O link do relatório de auditoria de código na documentação do DefiApp está vinculado ao seu Github, mas o link não pode ser aberto e nenhum relatório de auditoria pode ser encontrado em seu Github. Não tem a certeza se ainda não concluiu a auditoria? Ou ainda não foi submetido ao Github? @defidotapp Nos sites dos auditores listados, apenas o relatório de auditoria de Pashov no DefiApp, ou seja, a auditoria da parte do airdrop, foi encontrado. O relatório de auditoria da Pashov mostra que o DefiApp descartou parte do código e encontrou um total de 1 de alto risco, 2 de médio risco e 10 de baixo risco. Todas as questões de baixo risco, com exceção de 2, foram resolvidas. ➤StandX @StandX_Official ❚ Introdução ao Projeto Futuros perpétuos DEX, atualmente conhecidos por suportar as cadeias Solana e BSC. ❚ Escala ecológica De acordo com o site oficial do StandX, o StandX tem $TVL 2297 milhões, um total de 30.468 transações na cadeia e 7.798 participantes ativos. ❚ Auditores de código O código do StandX consiste em duas partes, a cadeia EVM e a borda Solana, todas auditadas duplamente pela RigSec e WatchPug. A RigSec é uma empresa focada em segurança de ativos digitais, e seu principal mercado está atualmente na Ásia, e seus projetos auditados incluem o edgeX Exchange. A WatchPug é uma empresa de auditoria de segurança blockchain focada em auditoria de código de protocolos DeFi, projetos NFT e aplicativos Web3. Os projetos auditados incluem Equilibria Finance, Penpie e outros. ❚ Relatório de auditoria O código de cadeia Solana e EVM da StandX foi auditado por 2 auditores, e o relatório mostrou que todos os riscos moderados ou superiores foram abordados. Existem várias recomendações de baixo risco, riscos informacionais e otimização de código. ➤ Escreva no final No geral, Huma é um pouco mais seguro. Não só o nível de risco encontrado no relatório de auditoria de código é menor, mas o programa de bug bounty está em execução há quase um ano. Isso pode explicar por que Huma enche em menos de 1 hora cada vez que Huma desenvolve um depósito. A sensibilização dos grandes fundos para a segurança é ainda relativamente elevada. Os 4 relatórios de auditoria da StandX mostram que o nível de risco é relativamente baixo e acima do moderado é resolvido. No entanto, as duas empresas de auditoria de código que realizaram a auditoria são relativamente conhecidas, e há uma certa incerteza sobre a segurança do StandX. Quanto ao DefiApp, é possível que a especulação de auditoria de outras peças, exceto o contrato de airdrop, ainda não esteja concluída. Ou talvez a auditoria tenha sido concluída e a equipe esteja trabalhando em uma correção para o problema. Finalmente, para um novo produto DeFi, mesmo que ele passe por uma auditoria de segurança de código, ele ainda não pode ter certeza de que é totalmente seguro. Lembre a todos para serem cautelosos ao participar dos primeiros projetos Defi, e sejam ainda mais cautelosos na operação!

33,8 mil

O conteúdo apresentado nesta página é fornecido por terceiros. Salvo indicação em contrário, a OKX não é o autor dos artigos citados e não reivindica quaisquer direitos de autor nos materiais. O conteúdo é fornecido apenas para fins informativos e não representa a opinião da OKX. Não se destina a ser um endosso de qualquer tipo e não deve ser considerado conselho de investimento ou uma solicitação para comprar ou vender ativos digitais. Na medida em que a IA generativa é utilizada para fornecer resumos ou outras informações, esse mesmo conteúdo gerado por IA pode ser impreciso ou inconsistente. Leia o artigo associado para obter mais detalhes e informações. A OKX não é responsável pelo conteúdo apresentado nos sites de terceiros. As detenções de ativos digitais, incluindo criptomoedas estáveis e NFTs, envolvem um nível de risco elevado e podem sofrer grandes flutuações. Deve considerar cuidadosamente se o trading ou a detenção de ativos digitais é adequado para si à luz da sua condição financeira.