SUI Ecosystem DEX-#Cetus Är ... | TVBee OKX Feed

SUI Ecosystem DEX-#Cetus Är kodsäkerhetsrevision verkligen tillräcklig när den attackeras? Orsaken och effekten av attacken mot Cetus är ännu inte klarlagd, men vi kan först ta en titt på kodsäkerhetsgranskningen av Cetus. För den oinvigde kan vi inte förstå den specifika tekniken, men den här revisionssammanfattningen kan förstås. ➤ Certiks revision Certiks kodsäkerhetsrevision av Cetus fann endast 2 mindre faror som löstes. Det finns också 9 informationsrisker, varav 6 har lösts. Certik gav ett helhetsbetyg på 83,06 och en kodrevisionspoäng på 96. ➤ Andra revisionsrapporter från Cetus (SUI Chain) Totalt 5 kodrevisionsrapporter är listade på Cetus Github, exklusive Certiks revision. Det uppskattas att projektgruppen också visste att Certiks revision var en formalitet, så den inkluderade inte denna rapport. Cetus stöder både Aptos- och SUI-kedjor, och de 5 revisionsrapporterna kommer från MoveBit, OtterSec respektive Zellic. Bland dem granskar MoveBit och OtterSec Cetus kod på Aptos- respektive SUI-kedjorna, och Zellic bör också granska koden på SUI-kedjan. Eftersom det var Cetus på SUI-kedjan som attackerades den här gången kommer vi bara att titta på revisionsrapporten för Cetus på SUI-kedjan nedan. ❚ Revisionsrapport från MoveBit Rapporten laddades upp till Github 2023-04-28 Om vi inte förstår det specifika innehållet i revisionen kan vi hitta en tabell som denna för att se antalet riskproblem som listas i rapporten på varje nivå och hur väl de är lösta. MoveBis revisionsrapport om Cetust hittade totalt 18 riskproblem, inklusive 1 problem med dödlig risk, 2 allvarliga riskproblem, 3 problem med medelhög risk och 12 problem med mild risk, som alla har lösts. Det finns fler problem än vad Certik har hittat, och Cetus har löst dem alla. ❚ Revisionsrapport från OtterSec Rapporten laddades upp på Github 2023-05-12 OtterSecs revisionsrapport om Cetus hittade totalt 1 högriskproblem, 1 medelriskproblem och 7 informationsrisker, och skärmdumparna togs inte eftersom rapporttabellen inte direkt visade lösningen på riskproblemet. Bland dem har både högrisk- och medelriskfrågor lösts. Informationsriskproblem, 2 lösta, 2 fixade patchar inskickade och 3 fler. Efter en grov studie är dessa 3: •Koden för Sui- och Aptos-versionerna är inkonsekvent, vilket kan påverka noggrannheten i prisberäkningen av likviditetspooler. • Brist på verifiering av pausat tillstånd, ingen verifiering av om likviditetspoolen är i ett pausat tillstånd vid tidpunkten för bytet. Om poolen är avstängd kan det fortfarande vara möjligt att handla. • Konvertera U256-typ till U64-typ, om värdet överstiger MAX_U64 kommer det att orsaka översvämning, vilket kan leda till beräkningsfel vid stora transaktioner. Det är osäkert om attacken är relaterad till ovanstående frågor. ❚ Revisionsrapport från Zellic Rapporten laddades upp på Github i april 2025 Zellics revisionsrapport om Cetus identifierade tre informationsrisker, varav ingen åtgärdades: • Ett problem med funktionsauktorisering som gör att vem som helst kan ringa för att sätta in avgifter på ett partnerkonto. Det verkar inte vara riskabelt, det är att spara pengar, inte att ta ut pengar. Så Cetus fixade det inte för tillfället. • Det finns en funktion som fortfarande refereras av en föråldrad generation, och koden är överflödig, vilket verkar vara riskabelt, men koden är inte tillräckligt normativ. • Ett av gränssnittsrenderingsproblemen i NFT-visningsdata kan ha varit teckenbaserat, men Cetus använde den mer komplexa datatypen TypeName i Move-språket. Detta är inget problem, och det är möjligt att Cetus kommer att utveckla andra funktioner för NFT:er i framtiden. Sammantaget hittade Zellic 3 delproblem med ozonskiktet, som i princip är riskfria och tillhör kodspecifikationsaspekten. Vi måste komma ihåg dessa tre revisorer: MoveBit, OtterSec, Zellic. Eftersom de flesta revisorer på marknaden är bra på EVM-revisioner tillhör dessa tre revisorer Move-språkkodsrevisorerna. ➤ Revision och säkerhetsnivå (Ta den nya DEX som ett exempel) Först och främst är projekt som inte har granskats av kod föremål för en viss risk för matta. När allt kommer omkring är han inte ens villig att betala för denna revision, och det är svårt för människor att tro att han har en önskan att arbeta under lång tid. För det andra är Certik-revision faktiskt en slags "mänsklig revision". Varför är det en "human audit", Certik har ett mycket nära samarbete med coinmarketcap. På coinmarketcaps projektsida finns en revisionsikon som klickar på den för att ta dig till Certiks navigationsplattform, skynet. coinmarketcap, som en plattform som ägs av Binance, gjorde det indirekt möjligt för Certik att etablera ett partnerskap med Binance. Faktum är att Binance och Certik alltid har haft en god relation, så de flesta projekt som vill listas på Binance kommer att söka Certiks revision. Därför, om ett projekt söker Certiks revision, är det troligt att det vill listas på Binance. Historien har dock visat att sannolikheten för en attack mot ett projekt som endast granskas av Certik inte är låg, till exempel DEXX. Det finns till och med projekt som har FUG, till exempel ZKasino. Naturligtvis har Certik också en del annan säkerhetshjälp, inte bara kodgranskning, Certik kommer att skanna webbplatser, DNS, etc., och det finns en del annan säkerhetsinformation än kodrevision. För det tredje kommer många projekt att söka 1~mer än en annan högkvalitativ revisionsenhet för att genomföra kodsäkerhetsrevisioner. För det fjärde, förutom professionella kodrevisioner, kommer vissa projekt också att genomföra bug bounty-program och revisionstävlingar för att brainstorma och eliminera sårbarheter. Eftersom detta är en DEX-produkt, låt oss ta några nyare DEX:er som exempel: --------------------------- ✦✦✦GMX V2 är en kodrevision utförd av 5 företag, inklusive abdk, certora, dedaub, guardian och sherlock, och lanserade ett enda bug bounty-program på upp till 5 miljoner dollar. ✦✦✦DeGate, totalt 35 företag från Secbit, Least Authority och Trail of Bits genomförde kodrevisioner och lanserade ett enda bug bounty-program på upp till 1,11 miljoner dollar. ✦✦✦DYDX V4 är en kodsäkerhetsrevision utförd av Informal Systems, och ett enda bug bounty-program på upp till 5 miljoner dollar har lanserats. ✦✦✦HyperLiquid genomför kodsäkerhetsgranskningar av HyperLiquid och har lanserat ett enda bug bounty-program på upp till 1 miljon dollar. ✦✦UniversalX granskas av Certik och en annan expertrevisor (den officiella revisionsrapporten har tillfälligt tagits bort från hyllorna) ✦GMGN är speciellt eftersom det inte finns någon kodrevisionsrapport hittad, bara ett enda bug bounty-program på upp till $10 000. ➤ Skriv i slutet Efter att ha granskat kodsäkerhetsgranskningarna av dessa DEX:er kan vi se att även DEX:er som Cetus, som granskas gemensamt av 3 revisorer, fortfarande är sårbara för attacker. Revisioner med flera agenter, i kombination med program för belöning av sårbarheter eller revisionstävlingar, säkerställer relativt säker säkerhet. För vissa nya Defi-protokoll finns det dock fortfarande problem med kodrevision som inte har åtgärdats, vilket är anledningen till att Brother Bee ägnar särskild uppmärksamhet åt kodrevisionen av nya Defi-protokoll.

Hur säkra är de DeFi-projekt som folk är galna i att engagera sig i sina fonder? Säkerhet är ingen liten sak! Speciellt för DeFi/PayFi/RwaFi-produkter, där användarmedel sätts in eller godkänns, är säkerheten alltid det första och viktigaste. Mogna DeFi-produkter som Uniswap, GMX och DyDx har testats av marknaden (hackare) under lång tid, och deras säkerhet är relativt sett högre. Det finns dock en högre nivå av osäkerhet i nya DeFi-applikationer. Det är därför nya DeFi-produkter kommer att ha en relativt högre avkastning eller airdrop-avkastning. Eftersom det är en riskkompensation för tidiga deltagare. Även om kodsäkerhetsrevisioner inte helt kan garantera dess säkerhet, kan den relativt sett garantera säkerheten. I den här artikeln kommer vi att ta en titt på flera nya DeFi/PayFi/RwaFi-...... Säkerhetshantering, t.ex. kodgranskning av liknande produkter. ➤Huma @humafinance ❚ Introduktion till projektet Huma är ett PayFi-projekt baserat på Solana-ekosystemet och Stellar, som syftar till att återuppfinna betalningar, avkastning och finansiering på blockkedjan. ❚ Ekologisk skala För närvarande ligger Huma före TGE, och det finns ett tak för storleken på medlen för ekologiskt deltagande. Enligt Humas officiella hemsida har protokollet för närvarande en total aktiv likviditet på 104 miljoner dollar och en total handelsvolym på 4,3 miljarder dollar. ❚ Kodrevisor: Halborn Halborn grundades 2019 och har granskat koden för många liknande projekt som offentliga kedjor och DeFi, såsom: Thorchain, Taiko, Core Chain, Story, Plume, Solayer, Zetachain, Avalanche, Persistenct, etc. ❚ Revisionsrapport Enligt revisionsrapporten identifierade Huma totalt 2 problem med låg risk som har lösts. 2 Informationsrisker är kända. Ingen måttlig eller övre risk identifierades. ❚ Bug bounties och säkerhetstävlingar I juli 2026 lanserade Huma ett bug bounty-program på $50 000 på cantina-plattformen. Cantina är en Web3-plattform för säkerhetsmarknaden som grundades 2023 och som erbjuder säkerhetstjänster som säkerhetstävlingar, bug bounties, säkerhetsgranskningar och mer. Välkända projekt som Uniswap, Morpho, Pendle, PancakeSwap och andra har lanserat bug bounty-program eller säkerhetstävlingar på dem. ➤DefiApp-@defidotapp ❚ Introduktion till projektet DefiApp är en aggregerad DeFi baserad på kedjeabstraktion, inklusive spotswap, eviga terminer och utlåningsapplikationer. ❚ Ekologisk skala Enligt DeFilama har DefiApp en sammanlagd handelsvolym under 24 timmar på 137,38 miljoner dollar. Den högsta dagliga sammanlagda handelsvolymen var 225,76 miljoner dollar. ❚ Kodgranskare DefiApp-dokumentationen visar att olika delar granskas av olika myndigheter: ✦ Infrastruktur Avsnitt: Sela Sela är en organisation för molnsäkerhetstjänster vars partners inkluderar Microsoft, Google, AWZ och Alibaba. ✦ Avsnitt för webbapplikation: Halborn ✦ Del av smart kontrakt: Cantina ✦ Airdrop del: pashov Pashov Audit Group är ett blockchain-säkerhetsföretag som har granskat projekt som DeFi, Gaming och Chain Split, som Sushi, 1inch, Aave, Ethena, Radiant och mer. ❚ Revisionsrapport Länken till kodrevisionsrapporten i DefiApp-dokumentationen är länkad till dess Github, men länken kan inte öppnas och ingen revisionsrapport kan hittas i dess Github. Är du osäker på om du inte har slutfört din revision ännu? Eller har den inte skickats in till Github ännu? @defidotapp På de listade revisorernas webbplatser hittades endast pashovs revisionsrapport om DefiApp, det vill säga revisionen av airdrop-delen. Pashovs revisionsrapport visar att DefiApp släppte en del av koden och hittade totalt 1 högrisk, 2 medelhög risk och 10 låg risk. Alla utom 2 problem med låg risk löstes. ➤StandX @StandX_Official ❚ Introduktion till projektet Perpetual futures DEX, för närvarande känd för att stödja Solana- och BSC-kedjor. ❚ Ekologisk skala Enligt StandX:s officiella webbplats har StandX $TVL 2297 miljoner, totalt 30 468 transaktioner i kedjan och 7 798 aktiva deltagare. ❚ Kodgranskare StandX:s kod består av två delar, EVM-kedjan och Solana-kanten, som alla är dubbelgranskade av RigSec och WatchPug. RigSec är ett företag med fokus på säkerhet för digitala tillgångar, och dess huvudmarknad är för närvarande i Asien, och dess granskade projekt inkluderar edgeX Exchange. WatchPug är ett företag för granskning av blockkedjesäkerhet med fokus på kodgranskning av DeFi-protokoll, NFT-projekt och Web3-applikationer. Granskade projekt inkluderar Equilibria Finance, Penpie och andra. ❚ Revisionsrapport StandX:s solana- och EVM-kedjekod granskades av 2 revisorer, och rapporten visade att alla måttliga eller högre risker åtgärdades. Det finns flera informationsrisker med låg risk och rekommendationer för kodoptimering. ➤ Skriv i slutet Sammantaget är Huma lite säkrare. Risknivån som finns i kodrevisionsrapporten är inte bara lägre, utan bug bounty-programmet har körts i nästan ett år. Detta kan förklara varför Huma fylls på mindre än 1 timme varje gång Huma utvecklar en insättning. Säkerhetsmedvetenheten om stora fonder är fortfarande relativt hög. StandX:s 4 revisionsrapporter visar att risknivån är relativt låg och över måttlig är löst. De två kodrevisionsföretag som genomfört revisionen är dock relativt välkända, och det finns en viss osäkerhet kring säkerheten i StandX. När det gäller DefiApp är det möjligt att revisionsspekulationerna om andra delar förutom airdrop-kontraktet kanske inte är klara ännu. Eller så kanske revisionen har slutförts och teamet arbetar med en lösning på problemet. Slutligen, för en ny DeFi-produkt, även om den klarar en kodsäkerhetsgranskning, kan den fortfarande inte vara säker på att den är helt säker. Påminn alla om att vara försiktiga när de deltar i tidiga Defi-projekt, och vara ännu mer försiktiga i drift!

35,31 tn

Innehållet på den här sidan tillhandahålls av tredje part. Om inte annat anges är OKX inte författare till den eller de artiklar som citeras och hämtar inte någon upphovsrätt till materialet. Innehållet tillhandahålls endast i informationssyfte och representerar inte OKX:s åsikter. Det är inte avsett att vara ett godkännande av något slag och bör inte betraktas som investeringsrådgivning eller en uppmaning att köpa eller sälja digitala tillgångar. I den mån generativ AI används för att tillhandahålla sammanfattningar eller annan information kan sådant AI-genererat innehåll vara felaktigt eller inkonsekvent. Läs den länkade artikeln för mer detaljer och information. OKX ansvarar inte för innehåll som finns på tredje parts webbplatser. Innehav av digitala tillgångar, inklusive stabila kryptovalutor och NFT:er, innebär en hög grad av risk och kan fluktuera kraftigt. Du bör noga överväga om handel med eller innehav av digitala tillgångar är lämpligt för dig mot bakgrund av din ekonomiska situation.