DEX екосистеми SUI #Cetus чи ... | TVBee OKX Feed

DEX екосистеми SUI #Cetus чи дійсно аудит безпеки коду достатній при атаці? Причина та наслідки атаки на Cetus поки що не зрозумілі, але ми можемо спочатку поглянути на аудит безпеки коду Cetus. Для непосвячених ми не можемо зрозуміти конкретну технологію, але цей підсумок аудиту можна зрозуміти. ➤ Аудит компанії Certik Аудит безпеки коду Certik Cetus виявив лише 2 незначні небезпеки, які були усунені. Також є 9 інформаційних ризиків, 6 вирішених. Certik дав загальний рейтинг 83,06 і 96 балів аудиту коду. ➤ Інші аудиторські звіти від Cetus (SUI Chain) Загалом на Github Cetus розміщено 5 звітів про аудит коду, за винятком аудиту Certik. Підраховано, що команда проекту також знала, що аудит Certik був формальністю, тому він не включав цей звіт. Cetus підтримує як ланцюги Aptos, так і SUI, а 5 аудиторських звітів надійшли від MoveBit, OtterSec і Zellic відповідно. Серед них MoveBit і OtterSec проводять аудит коду Cetus на ланцюгах Aptos і SUI відповідно, а Zellic також повинен провести аудит коду в ланцюжку SUI. Оскільки цього разу атаку зазнав саме Cetus у ланцюжку SUI, ми розглянемо лише звіт про аудит Cetus щодо ланцюга SUI нижче. ❚ Звіт про аудит від MoveBit Звіт був завантажений на Github 28.04.2023 Якщо ми не розуміємо конкретного змісту аудиту, ми можемо знайти таку таблицю, щоб побачити кількість проблем з ризиками, перелічених у звіті на кожному рівні, і наскільки добре вони вирішені. Аудиторський звіт MoveBi щодо Cetust виявив загалом 18 проблем з ризиком, включаючи 1 проблему зі смертельним ризиком, 2 основні проблеми з ризиком, 3 проблеми із середнім ризиком і 12 проблем із помірним ризиком, усі з яких були вирішені. Проблем більше, ніж знайшов Certik, і Cetus вирішив їх усі. ❚ Аудиторський звіт від OtterSec Звіт був завантажений на Github 12.05.2023 Аудиторський звіт OtterSec щодо Cetus виявив загалом 1 проблему з високим ризиком, 1 проблему із середнім ризиком та 7 інформаційних ризиків, а скріншоти не були зроблені, оскільки таблиця звітів не показувала безпосередньо вирішення проблеми ризику. Серед них вирішено питання як високого, так і середнього ризику. Проблеми з інформаційними ризиками, 2 вирішено, 2 виправлені виправлення надіслано та ще 3 виправлено. Після грубого вивчення ці 3 такі: •Код версій Sui та Aptos суперечливий, що може вплинути на точність розрахунку ціни пулів ліквідності. • Відсутність верифікації призупиненого стану, відсутність перевірки того, чи знаходиться пул ліквідності в призупиненому стані на момент обміну. Якщо пул буде призупинено, можливо, все ще можна буде торгувати. • Перетворіть тип U256 в тип U64, якщо значення перевищує MAX_U64 це викличе переповнення, що може призвести до помилок розрахунків у разі великих транзакцій. Невідомо, чи пов'язана атака з вищезазначеними питаннями. ❚ Аудиторський звіт від Zellic Звіт був завантажений на Github у квітні 2025 року Аудиторський звіт Zellic щодо Cetus виявив три інформаційні ризики, жоден з яких не був усунутий: • Проблема авторизації функції, яка дозволяє будь-кому зателефонувати для внесення комісії на будь-який партнерський рахунок. Це начебто не ризиковано, це економія грошей, а не зняття грошей. Тож Кит поки що це не виправив. • Є функція, на яку все ще посилається застаріла генерація, а код є зайвим, що здається ризикованим, але код недостатньо директивний. • Одна з проблем рендерингу інтерфейсу користувача в даних відображення NFT могла бути пов'язана з символами, але Cetus використовував складніший тип даних TypeName у мові Move. Це не проблема, і не виключено, що в майбутньому Cetus розробить інші функції для NFT. В цілому, Зелліч виявив 3 підпроблеми озонового шару, які в основному не пов'язані з ризиком і належать до аспекту специфікації коду. Ми повинні пам'ятати про цих трьох аудиторів: MoveBit, OtterSec, Zellic. Оскільки більшість аудиторів на ринку добре справляються з аудитами EVM, ці три аудитори належать до аудиторів коду мови Move. ➤ Рівень аудиту та безпеки (візьмемо для прикладу нову DEX) Перш за все, проекти, які не пройшли аудит за кодом, піддаються певному ризику Rug. Адже він навіть не готовий платити за цю перевірку, і людям складно повірити в те, що у нього є бажання працювати тривалий час. По-друге, аудит Certik – це фактично різновид «людського аудиту». Чому це "людський аудит", Certik має дуже тісну співпрацю з coinmarketcap. На сторінці проекту coinmarketcap є значок аудиту, який натискає на нього, щоб перевести вас на навігаційну платформу Certik, skynet. coinmarketcap, як платформа, що належить Binance, опосередковано дозволила Certik встановити партнерство з Binance. Насправді, Binance і Certik завжди мали хороші відносини, тому більшість проектів, які хочуть розміститися на Binance, будуть звертатися за аудитом Certik. Тому, якщо проект звертається за аудитом Certik, він, швидше за все, захоче розмістити його на Binance. Однак історія показала, що ймовірність атаки на проект, який перевіряється тільки Certik, не низька, наприклад, DEXX. Є навіть проекти, які були FUG, наприклад ZKasino. Звичайно, Certik також має деяку іншу допомогу з безпеки, не лише аудит коду, Certik скануватиме веб-сайти, DNS тощо, а також є деяка інформація про безпеку, крім аудиту коду. По-третє, багато проектів будуть шукати 1~більше, ніж одна інша високоякісна аудиторська організація для проведення аудиту безпеки коду. По-четверте, крім професійного аудиту коду, деякі проєкти також проводитимуть програми винагороди за виявлення помилок та конкурси аудитів для мозкового штурму та усунення вразливостей. Оскільки це продукт DEX, давайте розглянемо кілька нових DEX як приклад: --------------------------- ✦✦✦GMX V2 – це аудит коду, проведений 5 компаніями, включаючи abdk, certora, dedaub, Guardian і Sherlock, і запустив єдину програму винагороди за виявлення помилок у розмірі до 5 мільйонів доларів. ✦✦✦DeGate, загалом 35 компаній з Secbit, Least Authority та Trail of Bits провели аудит коду та запустили одну програму винагороди за виявлення помилок у розмірі до $1,11 млн. ✦✦✦DYDX V4 – це аудит безпеки коду, проведений компанією Informal Systems, і була запущена єдина програма винагороди за виявлення помилок у розмірі до 5 мільйонів доларів. ✦✦✦HyperLiquid проводить аудит безпеки коду від HyperLiquid і запустила одну програму винагороди за виявлення помилок у розмірі до 1 мільйона доларів. ✦✦UniversalX проходить аудит компанією Certik та іншим експертом-аудитором (офіційний аудиторський звіт тимчасово видалено з полиць) ✦GMGN особливий тим, що звіт про аудит коду не знайдено, лише одна програма винагороди за помилки до $10 000. ➤ Напишіть в кінці Ознайомившись з аудитами безпеки коду цих DEX, ми можемо побачити, що навіть такі DEX, як Cetus, які спільно перевіряються 3 аудиторами, все ще вразливі до атак. Багатоагентні аудити в поєднанні з програмами винагороди за вразливості або змаганнями з аудиту забезпечують відносно безпечну безпеку. Однак для деяких нових протоколів Defi все ще існують проблеми в аудиті коду, які не були виправлені, тому Brother Bee приділяє особливу увагу аудиту коду нових протоколів Defi.

Наскільки безпечними є DeFi-проєкти, що люди без розуму залучають свої кошти? Безпека – це не дрібниця! Особливо для продуктів DeFi/PayFi/RwaFi, де кошти користувачів вносяться або авторизуються, безпека завжди є першою та найважливішою. Зрілі DeFi-продукти, такі як Uniswap, GMX і DyDx, давно перевірені ринком (хакерами), і їх безпека відносно вища. Однак у нових DeFi-додатках спостерігається вищий рівень невизначеності. Ось чому нові продукти DeFi матимуть відносно вищу прибутковість або віддачу від аірдропу. Тому що це компенсація ризику для ранніх учасників. Хоча аудит безпеки коду не може повністю гарантувати його безпеку, він може відносно гарантувати безпеку. У цій статті ми розглянемо кілька нових ...... DeFi/PayFi/RwaFi Управління безпекою, таке як аудит коду аналогічних продуктів. ➤Хума @humafinance ❚ Ознайомлення з проектом Huma — це проєкт PayFi, заснований на екосистемі Solana та Stellar, який має на меті переосмислити платежі, прибутковість та фінансування на блокчейні. ❚ Екологічна шкала В даний час Хума випереджає TGE, і існує обмеження на розмір коштів для екологічної участі. Згідно з офіційним сайтом Huma, наразі протокол має загальну активну ліквідність у розмірі $104 млн і загальний обсяг торгів у розмірі $4,3 млрд. ❚ Аудитор коду: Халборн Заснована в 2019 році, Halborn провела аудит коду багатьох подібних проєктів, таких як публічні мережі та DeFi, таких як: Thorchain, Taiko, Core Chain, Story, Plume, Solayer, Zetachain, Avalanche, Persistenct тощо. ❚ Аудиторський звіт Згідно з аудиторським звітом, Huma виявила загалом 2 проблеми з низьким рівнем ризику, які були вирішені. Відомі 2 інформаційні ризики. Помірного або верхнього ризику не виявлено. ❚ Баг-баунті та конкурси безпеки У липні 2026 року Huma запустила програму винагороди за виявлення помилок у розмірі 50 000 доларів США на платформі Cantina. Cantina — це платформа ринку безпеки Web3, заснована у 2023 році, яка пропонує послуги безпеки, такі як конкурси безпеки, винагороди за помилки, огляди безпеки тощо. Такі відомі проєкти, як Uniswap, Morpho, Pendle, PancakeSwap та інші, запустили програми баг-баунті або конкурси з безпеки на них. ➤Додаток DefiApp @defidotapp ❚ Ознайомлення з проектом DefiApp — це агрегований DeFi, заснований на абстракції ланцюга, включаючи спотовий своп, безстрокові ф'ючерси та програми кредитування. ❚ Екологічна шкала За даними DeFillama, сукупний обсяг торгів DefiApp за 24 години становить $137,38 млн. Найвищий середньодобовий сукупний обсяг торгів склав $225,76 млн. ❚ Аудитори коду Документація DefiApp показує, що різні частини перевіряються різними відомствами: ✦ Розділ інфраструктури: Sela Sela – це організація, що надає послуги хмарної безпеки, партнерами якої є Microsoft, Google, AWZ та Alibaba. ✦ Розділ веб-додатків: Halborn ✦ Частина смарт-контракту: Cantina ✦ Десантна частина: пашов Pashov Audit Group — це компанія з безпеки блокчейну, яка провела аудит таких проєктів, як DeFi, Gaming та Chain Split, таких як Sushi, 1inch, Aave, Ethena, Radiant тощо. ❚ Аудиторський звіт Посилання на звіт про аудит коду в документації DefiApp пов'язане з його Github, але посилання не може бути відкрите, а звіт про аудит не можна знайти на його Github. Не впевнені, що ви ще не завершили аудит? Чи його ще не надіслали на Github? @defidotapp На сайтах перерахованих аудиторів був знайдений тільки аудиторський звіт пашова по DefiApp, тобто аудит аірдроп частини. Аудиторський звіт Пашова показує, що DefiApp скинув частину коду і виявив загалом 1 з високим ризиком, 2 із середнім ризиком і 10 з низьким ризиком. Були вирішені всі, крім 2 проблем з низьким рівнем ризику. ➤StandX @StandX_Official ❚ Ознайомлення з проектом Безстрокові ф'ючерси DEX, наразі відомі тим, що підтримують ланцюги Solana та BSC. ❚ Екологічна шкала Згідно з офіційним сайтом StandX, на рахунку StandX $TVL 2297 мільйонів, загалом 30 468 транзакцій у мережі та 7 798 активних учасників. ❚ Аудитори коду Код StandX складається з двох частин: ланцюга EVM і краю Solana, всі з яких проходять подвійний аудит RigSec і WatchPug. RigSec — це компанія, орієнтована на безпеку цифрових активів, і її основний ринок наразі знаходиться в Азії, а її перевірені проєкти включають edgeX Exchange. WatchPug — це компанія з аудиту безпеки блокчейну, яка спеціалізується на аудиті коду протоколів DeFi, NFT-проєктів та Web3-додатків. До перевірених проектів відносяться Equilibria Finance, Penpie та інші. ❚ Аудиторський звіт Chaincode solana та EVM StandX були перевірені 2 аудиторами, і звіт показав, що всі помірні або вищі ризики були враховані. Є кілька низькоризикових, інформаційних ризиків та рекомендацій щодо оптимізації коду. ➤ Напишіть в кінці В цілому, Huma трохи безпечніше. Мало того, що рівень ризику зазначений у звіті про аудит коду нижчий, так ще й програма винагороди за виявлення помилок працює вже майже рік. Це може пояснити, чому Хума наповнюється менш ніж за 1 годину щоразу, коли у Хуми розвивається відкладення. Обізнаність про безпеку великих фондів все ще залишається відносно високою. 4 аудиторські звіти StandX показують, що рівень ризику відносно низький і вище помірного. Тим не менш, дві компанії з аудиту коду, які проводили аудит, є відносно відомими, і існує певна невизначеність щодо безпеки StandX. Що стосується DefiApp, то не виключено, що спекуляції аудитом інших частин, крім контракту на аірдроп, можуть ще не завершитися. Або, можливо, аудит завершено, і команда працює над вирішенням проблеми. Нарешті, для нового продукту DeFi, навіть якщо він проходить аудит безпеки коду, він все одно не може бути впевнений, що він повністю безпечний. Нагадайте всім бути обережними при участі в ранніх проектах Defi і бути ще обережнішими в експлуатації!

33,79 тис.

Вміст на цій сторінці надається третіми сторонами. Якщо не вказано інше, OKX не є автором цитованих статей і не претендує на авторські права на матеріали. Вміст надається виключно з інформаційною метою і не відображає поглядів OKX. Він не є схваленням жодних дій і не має розглядатися як інвестиційна порада або заохочення купувати чи продавати цифрові активи. Короткий виклад вмісту чи інша інформація, створена генеративним ШІ, можуть бути неточними або суперечливими. Прочитайте статтю за посиланням, щоб дізнатися більше. OKX не несе відповідальності за вміст, розміщений на сторонніх сайтах. Утримування цифрових активів, зокрема стейблкоїнів і NFT, пов’язане з високим ризиком, а вартість таких активів може сильно коливатися. Перш ніж торгувати цифровими активами або утримувати їх, ретельно оцініть свій фінансовий стан.