TVBee
TVBee
HUMA-2,34 %
CETUS-2,07 %
SOL-4,01 %
SUI-3,08 %
AAVE-4,68 %
CORE+0,65 %
DYDX-3,55 %
1INCH-3,05 %
SUSHI-4,85 %
MORPHO-3,49 %
PENDLE-5,14 %
SUI Ecosystem DEX #Cetus Este cu adevărat suficient auditul de securitate a codului atunci când este atacat? Cauza și impactul atacului asupra Cetus nu sunt încă clare, dar putem arunca mai întâi o privire asupra auditului de securitate a codului Cetus. Pentru cei neinițiați, nu putem înțelege tehnologia specifică, dar acest rezumat al auditului poate fi înțeles. ➤ Auditul Certik Auditul de securitate al Codului Certik al Cetus a găsit doar 2 pericole minore care au fost rezolvate. Există, de asemenea, 9 riscuri informaționale, 6 rezolvate. Certik a acordat un rating general de 83,06 și un scor de audit de cod de 96. ➤ Alte rapoarte de audit de la Cetus (SUI Chain) Un total de 5 rapoarte de audit de cod sunt listate pe Github-ul Cetus, excluzând auditul Certik. Se estimează că și echipa de proiect știa că auditul Certik a fost o formalitate, deci nu a inclus acest raport. Cetus acceptă atât lanțurile Aptos, cât și SUI, iar cele 5 rapoarte de audit sunt de la MoveBit, OtterSec și, respectiv, Zellic. Printre acestea, MoveBit și OtterSec auditează codul Cetus pe lanțurile Aptos și, respectiv, SII, iar Zellic ar trebui să auditeze și codul pe lanțul SUI. Deoarece Cetus din lanțul SUI a fost atacat de data aceasta, ne vom uita doar la raportul de audit al Cetus pe lanțul SUI de mai jos. ❚ Raport de audit de la MoveBit Raportul a fost încărcat pe Github pe 2023-04-28 Dacă nu înțelegem conținutul specific al auditului, putem găsi un tabel ca acesta pentru a vedea numărul de probleme de risc enumerate în raport la fiecare nivel și cât de bine sunt rezolvate. Raportul de audit al MoveBi privind Cetust a găsit un total de 18 probleme de risc, inclusiv 1 problemă de risc fatal, 2 probleme de risc major, 3 probleme de risc mediu și 12 probleme de risc ușor, toate acestea fiind rezolvate. Sunt mai multe probleme decât a găsit Certik, iar Cetus le-a rezolvat pe toate. ❚ Raport de audit de la OtterSec Raportul a fost încărcat pe Github pe 2023-05-12 Raportul de audit al OtterSec privind Cetus a găsit un total de 1 problemă cu risc ridicat, 1 problemă cu risc mediu și 7 riscuri informaționale, iar capturile de ecran nu au fost făcute deoarece tabelul de raport nu a arătat direct rezolvarea problemei de risc. Printre acestea, au fost rezolvate atât problemele cu risc ridicat, cât și cele cu risc mediu. Probleme de risc informațional, 2 rezolvate, 2 patch-uri corecte trimise și încă 3. După un studiu aproximativ, acestea 3 sunt: •Codul versiunilor Sui și Aptos este inconsecvent, ceea ce poate afecta acuratețea calculului prețurilor fondurilor de lichiditate. • Lipsa verificării stării întrerupte, nicio verificare dacă fondul de lichidități este într-o stare într-o stare întreruptă în momentul swap-ului. Dacă fondul este suspendat, este posibil să se tranzacționeze. • Convertiți tipul U256 în tipul U64, dacă valoarea depășește MAX_U64 va provoca depășire, ceea ce poate duce la erori de calcul în cazul tranzacțiilor mari. Nu este sigur dacă atacul este legat de problemele de mai sus. ❚ Raport de audit de la Zellic Raportul a fost încărcat pe Github în aprilie 2025 Raportul de audit al lui Zellic asupra Cetus a identificat trei riscuri informaționale, dintre care niciunul nu a fost remediat: • O problemă de autorizare a funcției care permite oricui să sune pentru a depune taxe în orice cont de partener. Nu pare a fi riscant, înseamnă să economisești bani, nu să retragi bani. Așa că Cetus nu a rezolvat-o deocamdată. • Există o funcție la care se face încă referire o generație învechită, iar codul este redundant, ceea ce pare a fi riscant, dar codul nu este suficient de prescriptiv. • Una dintre problemele de redare a interfeței de utilizare în datele de afișare NFT ar fi putut fi bazată pe caractere, dar Cetus a folosit tipul de date mai complex TypeName în limbajul Move. Aceasta nu este o problemă și este posibil ca Cetus să dezvolte alte funcții pentru NFT-uri în viitor. În general, Zellic a găsit 3 sub-probleme ale stratului de ozon, care sunt practic lipsite de riscuri și aparțin aspectului de specificație a codului. Trebuie să ne amintim de acești trei auditori: MoveBit, OtterSec, Zellic. Deoarece majoritatea auditorilor de pe piață sunt buni la auditurile EVM, acești trei auditori aparțin auditorilor de cod de limbaj Move. ➤ Nivel de audit și securitate (Să luăm ca exemplu noul DEX) În primul rând, proiectele care nu au fost auditate prin cod sunt supuse unui anumit risc Rug. La urma urmei, nici măcar nu este dispus să plătească pentru acest audit și este greu pentru oameni să creadă că are dorința de a funcționa de mult timp. În al doilea rând, auditul Certik este de fapt un fel de "audit uman". De ce este un "audit uman", Certik are o cooperare foarte strânsă cu coinmarketcap. Pe pagina proiectului coinmarketcap există o pictogramă de audit, care face clic pe ea pentru a vă duce la platforma de navigare Certik, skynet. coinmarketcap, ca platformă deținută de Binance, i-a permis indirect lui Certik să stabilească un parteneriat cu Binance. De fapt, Binance și Certik au avut întotdeauna o relație bună, așa că majoritatea proiectelor care doresc să se listeze pe Binance vor solicita auditul Certik. Prin urmare, dacă un proiect solicită auditul Certik, este probabil să dorească să se listeze pe Binance. Cu toate acestea, istoria a arătat că probabilitatea unui atac asupra unui proiect auditat doar de Certik nu este scăzută, cum ar fi DEXX. Există chiar și proiecte care au fost FUG, cum ar fi ZKasino. Desigur, Certik are și un alt ajutor de securitate, nu numai auditarea codului, Certik va scana site-uri web, DNS etc. și există unele informații de securitate, altele decât auditarea codului. În al treilea rând, multe proiecte vor căuta 1~mai mult decât o altă entitate de audit de înaltă calitate pentru a efectua audituri de securitate a codului. În al patrulea rând, pe lângă auditurile profesionale de cod, unele proiecte vor desfășura și programe de recompense pentru erori și competiții de audit pentru a face brainstorming și a elimina vulnerabilitățile. Deoarece acesta este un produs DEX, să luăm câteva DEX mai noi ca exemple: --------------------------- ✦✦✦GMX V2 este un audit de cod realizat de 5 companii, inclusiv abdk, certora, dedaub, guardian și sherlock, și a lansat un singur program de recompense pentru erori de până la 5 milioane de dolari. ✦✦✦DeGate, un total de 35 de companii din Secbit, Least Authority și Trail of Bits au efectuat audituri de cod și au lansat un singur program de recompense pentru erori de până la 1,11 milioane de dolari. ✦✦✦DYDX V4 este un audit de securitate a codului realizat de Informal Systems și a fost lansat un singur program de recompense pentru erori de până la 5 milioane de dolari. ✦✦✦HyperLiquid efectuează audituri de securitate a codului de către HyperLiquid și a lansat un singur program de recompense pentru erori de până la 1 milion de dolari. ✦✦UniversalX este auditat de Certik și de un alt auditor expert (raportul oficial de audit a fost eliminat temporar de pe rafturi) ✦GMGN este special prin faptul că nu s-a găsit niciun raport de audit al codului, doar un singur program de recompensă pentru erori de până la 10.000 USD. ➤ Scrie la sfârșit După ce am analizat auditurile de securitate a codului acestor DEX-uri, putem vedea că chiar și DEX-urile precum Cetus, care sunt auditate în comun de 3 auditori, sunt încă vulnerabile la atacuri. Auditurile cu mai mulți agenți, combinate cu programe de recompense pentru vulnerabilități sau competiții de audit, asigură o securitate relativ sigură. Cu toate acestea, pentru unele protocoale Defi noi, există încă probleme în auditul codului care nu au fost rezolvate, motiv pentru care Brother Bee acordă o atenție deosebită auditului codului noilor protocoale Defi.
Gallery 1
TVBee
TVBee
Cât de sigure sunt proiectele DeFi pe care oamenii sunt înnebuniți să se implice în fondurile lor? Siguranța nu este o chestiune mică! În special pentru produsele DeFi/PayFi/RwaFi, unde fondurile utilizatorilor sunt depuse sau autorizate, securitatea este întotdeauna prima și cea mai importantă. Produsele DeFi mature, cum ar fi Uniswap, GMX și DyDx, au fost testate de piață (hackeri) de mult timp, iar securitatea lor este relativ mai mare. Cu toate acestea, există un nivel mai ridicat de incertitudine în noile aplicații DeFi. De aceea, noile produse DeFi vor avea un randament relativ mai mare sau un randament airdrop. Pentru că este o compensație de risc pentru participanții timpurii. Deși auditurile de securitate a codului nu pot garanta pe deplin securitatea acestuia, pot asigura relativ securitatea. În acest articol, vom arunca o privire la mai multe noi ...... DeFi/PayFi/RwaFi Managementul securității, cum ar fi auditul codului produselor similare. ➤Huma @humafinance ❚ Introducere proiect Huma este un proiect PayFi bazat pe ecosistemul Solana și Stellar, care își propune să reinventeze plățile, randamentele și finanțarea pe blockchain. ❚ Scară ecologică În prezent, Huma este înaintea TGE și există un plafon pentru dimensiunea fondurilor pentru participarea ecologică. Potrivit site-ului oficial al Huma, protocolul are în prezent o lichiditate activă totală de 104 milioane de dolari și un volum total de tranzacționare de 4,3 miliarde de dolari. ❚ Auditor de cod: Halborn Fondată în 2019, Halborn a auditat codul multor proiecte similare, cum ar fi lanțurile publice și DeFi, cum ar fi: Thorchain, Taiko, Core Chain, Story, Plume, Solayer, Zetachain, Avalanche, Persistenct etc. ❚ Raport de audit Potrivit raportului de audit, Huma a identificat un total de 2 probleme cu risc scăzut care au fost rezolvate. Sunt cunoscute 2 riscuri informaționale. Nu a fost identificat niciun risc moderat sau superior. ❚ Recompense pentru erori și concursuri de securitate În iulie 2026, Huma a lansat un program de recompensă pentru erori de 50.000 de dolari pe platforma cantina. Cantina este o platformă de piață de securitate Web3 fondată în 2023 care oferă servicii de securitate, cum ar fi concursuri de securitate, recompense pentru erori, recenzii de securitate și multe altele. Proiecte cunoscute precum Uniswap, Morpho, Pendle, PancakeSwap și altele au lansat programe de recompense pentru erori sau concursuri de securitate pe ele.    ➤DefiApp @defidotapp ❚ Introducere proiect DefiApp este un DeFi agregat bazat pe abstractizarea lanțului, inclusiv swap spot, futures perpetue și aplicații de creditare. ❚ Scară ecologică Potrivit lui DeFillama, DefiApp are un volum agregat de tranzacționare pe 24 de ore de 137,38 milioane USD. Cel mai mare volum zilnic de tranzacționare agregat a fost de 225,76 milioane USD. ❚ Auditori de cod Documentația DefiApp arată că diferite părți sunt auditate de diferite agenții: ✦ Secțiunea Infrastructură: Sela Sela este o organizație de servicii de securitate în cloud ai cărei parteneri includ Microsoft, Google, AWZ și Alibaba. ✦ Secțiunea de aplicații web: Halborn ✦ Partea de contract inteligent: Cantina ✦ Partea Airdrop: pashov Pashov Audit Group este o companie de securitate blockchain care a auditat proiecte precum DeFi, Gaming și Chain Split, cum ar fi Sushi, 1inch, Aave, Ethena, Radiant și multe altele. ❚ Raport de audit Linkul raportului de audit al codului din documentația DefiApp este legat de Github, dar linkul nu poate fi deschis și niciun raport de audit nu poate fi găsit în Github. Nu sunteți sigur dacă nu ați finalizat încă auditul? Sau nu a fost încă trimis la Github? @defidotapp Pe site-urile auditorilor enumerați a fost găsit doar raportul de audit al lui Pashov pe DefiApp, adică auditul părții de lansare aeriană. Raportul de audit al lui Pashov arată că DefiApp a lansat o parte din cod și a găsit un total de 1 cu risc ridicat, 2 cu risc mediu și 10 cu risc scăzut. Toate problemele cu risc scăzut, cu excepția a 2, au fost rezolvate. ➤StandX @StandX_Official ❚ Introducere proiect Futures perpetue DEX, cunoscut în prezent pentru susținerea lanțurilor Solana și BSC. ❚ Scară ecologică Potrivit site-ului oficial al StandX, StandX are $TVL 2297 de milioane, un total de 30.468 de tranzacții pe lanț și 7.798 de participanți activi. ❚ Auditori de cod Codul StandX este format din două părți, lanțul EVM și marginea Solana, toate fiind dublu auditate de RigSec și WatchPug. RigSec este o companie axată pe securitatea activelor digitale, iar piața sa principală este în prezent în Asia, iar proiectele sale auditate includ edgeX Exchange. WatchPug este o companie de audit de securitate blockchain axată pe auditarea codului protocoalelor DeFi, proiectelor NFT și aplicațiilor Web3. Proiectele auditate includ Equilibria Finance, Penpie și altele. ❚ Raport de audit Codul de lanț solana și EVM al StandX au fost auditate de 2 auditori, iar raportul a arătat că toate riscurile moderate sau mai mari au fost abordate. Există mai multe riscuri cu risc scăzut, riscuri informaționale și recomandări de optimizare a codului. ➤ Scrie la sfârșit În general, Huma este puțin mai sigur. Nu numai că nivelul de risc găsit în raportul de audit al codului este mai mic, dar programul bug bounty rulează de aproape un an. Acest lucru poate explica de ce Huma se umple în mai puțin de 1 oră de fiecare dată când Huma dezvoltă un depozit. Conștientizarea securității fondurilor mari este încă relativ ridicată. Cele 4 rapoarte de audit ale StandX arată că nivelul de risc este relativ scăzut și peste moderat este rezolvat. Cu toate acestea, cele două companii de audit de cod care au efectuat auditul sunt relativ bine cunoscute și există o anumită incertitudine cu privire la securitatea StandX. În ceea ce privește DefiApp, este posibil ca speculațiile de audit ale altor părți, cu excepția contractului de lansare aeriană, să nu fie încă finalizate. Sau poate că auditul a fost finalizat și echipa lucrează la o soluție pentru problemă. În cele din urmă, pentru un nou produs DeFi, chiar dacă trece un audit de securitate a codului, tot nu poate fi sigur că este complet sigur. Amintiți-le tuturor să fie precauți atunci când participă la primele proiecte Defi și să fie și mai precauți în funcționare!
Gallery 1
Gallery 2
Gallery 3
Gallery 4
Afișare original
Obținut de latwitter
39
33,87 K
Conținutul de pe această pagină este furnizat de terți. Dacă nu se menționează altfel, OKX nu este autorul articolului citat și nu revendică niciun drept intelectual pentru materiale. Conținutul este furnizat doar pentru informare și nu reprezintă opinia OKX. Nu este furnizat pentru a fi o susținere de nicio natură și nu trebuie să fie considerat un sfat de investiție sau o solicitare de a cumpăra sau vinde active digitale. În măsura în care AI-ul de generare este utilizat pentru a furniza rezumate sau alte informații, astfel de conținut generat de AI poate să fie inexact sau neconsecvent. Citiți articolul asociat pentru mai multe detalii și informații. OKX nu răspunde pentru conținutul găzduit pe pagini terțe. Deținerile de active digitale, inclusiv criptomonedele stabile și NFT-urile, prezintă un grad ridicat de risc și pot fluctua semnificativ. Trebuie să analizați cu atenție dacă tranzacționarea sau deținerea de active digitale este adecvată pentru dumneavoastră prin prisma situației dumneavoastră financiare.