Экосистема SUI DEX #Cetus подверглась атаке, действительно ли аудит безопасности кода достаточен? Причины и последствия атаки на Cetus пока неясны, давайте сначала посмотрим на ситуацию с аудитом безопасности кода Cetus. Мы, непрофессионалы, не можем понять конкретные технологии, но этот обзор аудита мы можем понять. ➤Аудит Certik Согласно данным, Certik провел аудит безопасности кода Cetus и обнаружил только 2 незначительных риска, которые уже были устранены. Также было выявлено 9 информационных рисков, из которых 6 уже решены. Общий балл, предоставленный Certik, составляет 83.06, а оценка аудита кода — 96 баллов. ➤Другие отчеты об аудите Cetus (цепочка SUI) На GitHub Cetus перечислено 5 отчетов об аудите кода, в том числе не включая аудит Certik. Похоже, что команда проекта тоже понимает, что аудит Certik — это просто формальность, поэтому не включила этот отчет. Cetus поддерживает как Aptos, так и цепочку SUI, и эти 5 отчетов об аудите поступили от MoveBit, OtterSec и Zellic. MoveBit и OtterSec провели аудит кода Cetus на цепочках Aptos и SUI соответственно, а Zellic, вероятно, также проводил аудит кода на цепочке SUI. Поскольку атаке подвергся Cetus на цепочке SUI, ниже мы рассмотрим только отчет об аудите Cetus на цепочке SUI. ❚ Отчет об аудите от MoveBit Дата загрузки отчета на GitHub: 2023-04-28 Если мы не понимаем конкретное содержание аудита, мы можем найти такую таблицу и посмотреть количество рисков разных уровней, указанных в отчете, и их статус решения. В отчете MoveBit о Cetus было обнаружено 18 проблем с рисками, включая 1 критическую, 2 серьезные, 3 умеренные и 12 незначительных рисков, все они были устранены. Это больше, чем проблемы, обнаруженные Certik, и все они были решены Cetus. ❚ Отчет об аудите от OtterSec Дата загрузки отчета на GitHub: 2023-05-12 В отчете OtterSec о Cetus было обнаружено 1 высокий риск, 1 умеренный риск и 7 информационных рисков. Поскольку в таблице отчета не указано, как были решены рисковые проблемы, мы не будем делать скриншоты. Из них высокий и умеренный риски были устранены. Информационные риски: 2 были решены, 2 получили патчи на исправление, а 3 остаются. В общем, эти 3 проблемы: • Проблема несоответствия версий кода Sui и Aptos, что может повлиять на точность расчета цен в ликвидных пулах. • Отсутствие проверки состояния приостановки, при Swap не проверяется, находится ли ликвидный пул в состоянии приостановки. Если пул приостановлен, возможно, все равно можно торговать. • Преобразование типа u256 в u64, если значение превышает MAX_U64, это может привести к переполнению, что может вызвать ошибки при крупных сделках. Сейчас неясно, связано ли нападение с этими проблемами. ❚ Отчет об аудите от Zellic Дата загрузки отчета на GitHub: 2025 год В отчете Zellic о Cetus было обнаружено 3 информационных риска, которые не были устранены: • Проблема с авторизацией функции, позволяющая любому вызывать функцию для внесения средств на любой партнерский счет. Это, похоже, не представляет риска, это внесение денег, а не их снятие. Поэтому Cetus пока не исправил это. • Существует устаревшая функция, которая все еще используется, избыточный код, это, похоже, не представляет риска, просто код не соответствует стандартам. • Проблема отображения данных NFT в UI, вместо использования строкового типа Cetus использовал более сложный тип данных TypeName из языка Move. Это не является проблемой и, возможно, в будущем Cetus добавит другие функции для NFT. В целом, Zellic обнаружил 3 проблемы, которые в основном касаются стандартов кода и не представляют серьезного риска. Мы должны запомнить эти три аудиторские компании: MoveBit, OtterSec и Zellic. Поскольку большинство аудиторских компаний на рынке специализируются на EVM-аудите, эти три компании являются специализированными аудиторами кода на языке Move. ➤Аудит и уровень безопасности (на примере нового DEX) Во-первых, проекты, которые не прошли аудит кода, имеют определенный риск Rug. В конце концов, если они даже не хотят потратить деньги на аудит, трудно поверить в их желание вести долгосрочный бизнес. Во-вторых, аудит Certik на самом деле является "связевым аудитом". Почему это "связевой аудит"? Certik имеет очень тесное сотрудничество с coinmarketcap. На странице проекта coinmarketcap есть значок аудита, на который можно нажать, чтобы перейти на навигационную платформу Certik skynet. Coinmarketcap, как платформа под управлением Binance, косвенно установил сотрудничество между Certik и Binance. На самом деле, отношения между Binance и Certik всегда были хорошими, поэтому большинство проектов, желающих попасть на Binance, будут искать аудит Certik. Таким образом, если проект ищет аудит Certik, скорее всего, он хочет попасть на Binance. Однако история показывает, что проекты, прошедшие аудит только Certik, имеют довольно высокую вероятность быть атакованными, например, DEXX. Некоторые проекты уже исчезли, например, ZKasino. Конечно, у Certik есть и другие меры безопасности, помимо аудита кода, Certik также проводит сканирование сайтов, DNS и предоставляет некоторую информацию о безопасности, не относящуюся к аудиту кода. В-третьих, многие проекты будут искать 1 или более других качественных аудиторских организаций для проведения аудита безопасности кода. В-четвертых, помимо профессионального аудита кода, некоторые проекты также будут проводить программы поощрения за уязвимости и конкурсы аудита, чтобы собрать мнения и устранить уязвимости. Поскольку в этот раз атаке подвергся продукт DEX, давайте рассмотрим некоторые новые DEX в качестве примера: --------------------------- ✦✦✦GMX V2, аудит кода проводили 5 компаний: abdk, certora, dedaub, guardian, sherlock, и была запущена программа поощрения за уязвимости с максимальной суммой 5 миллионов долларов. ✦✦✦DeGate, аудит кода проводили 35 компаний: Secbit, Least Authority, Trail of Bits, и была запущена программа поощрения за уязвимости с максимальной суммой 1 миллион 110 тысяч долларов. ✦✦✦DYDX V4, аудит безопасности кода проводил Informal Systems, и была запущена программа поощрения за уязвимости с максимальной суммой 5 миллионов долларов. ✦✦✦hyperliquid, аудит безопасности кода проводил hyperliquid, и была запущена программа поощрения за уязвимости с максимальной суммой 1 миллион долларов. ✦✦UniversalX, аудит проводился Certik и другой экспертной аудиторской организацией (официально временно снят отчет об аудите). ✦GMGN довольно уникален, не удалось найти отчет об аудите кода, только программа поощрения за уязвимости с максимальной суммой 10 тысяч долларов. ➤Заключение После анализа ситуации с аудитом безопасности кода этих DEX, мы можем увидеть, что даже такие DEX, как Cetus, прошедшие аудит тремя аудиторскими организациями, все равно могут подвергаться атакам. Многосторонний аудит в сочетании с программами поощрения за уязвимости или конкурсами аудита обеспечивает относительную безопасность. Однако для некоторых новых протоколов DeFi еще есть нерешенные проблемы в аудите кода, и именно поэтому Братец Пчела особенно внимательно следит за ситуацией с аудитом кода новых протоколов DeFi.