Hệ sinh thái DEX #Cetus trên SUI bị tấn công, liệu việc kiểm toán an toàn mã có thực sự đủ không? Nguyên nhân và ảnh hưởng của vụ tấn công Cetus hiện vẫn chưa rõ ràng, chúng ta có thể xem xét tình hình kiểm toán an toàn mã của Cetus trước. Chúng ta không hiểu rõ các kỹ thuật cụ thể, nhưng bản tóm tắt kiểm toán này thì có thể hiểu được. ➤ Kiểm toán của Certik Theo đó, Certik đã thực hiện kiểm toán an toàn mã cho Cetus và chỉ phát hiện 2 vấn đề nguy hiểm nhẹ, và đã được giải quyết. Còn 9 vấn đề rủi ro thông tin, 6 vấn đề đã được giải quyết. Điểm tổng hợp mà Certik đưa ra là 83.06, điểm kiểm toán mã là 96 điểm. ➤ Các báo cáo kiểm toán khác của Cetus (chuỗi SUI) Trên Github của Cetus có tổng cộng 5 báo cáo kiểm toán mã, không bao gồm kiểm toán của Certik. Có lẽ dự án cũng biết rằng kiểm toán của Certik chỉ là hình thức, nên không đưa báo cáo này vào. Cetus đồng thời hỗ trợ chuỗi Aptos và SUI, 5 báo cáo kiểm toán này đến từ MoveBit, OtterSec và Zellic. Trong đó, MoveBit và OtterSec lần lượt kiểm toán mã của Cetus trên chuỗi Aptos và SUI, Zellic cũng kiểm toán mã trên chuỗi SUI. Vì lần này bị tấn công là Cetus trên chuỗi SUI, nên dưới đây chỉ xem báo cáo kiểm toán của Cetus trên chuỗi SUI. ❚ Báo cáo kiểm toán từ MoveBit Thời gian báo cáo được tải lên Github: 2023-04-28 Nếu chúng ta không hiểu rõ nội dung kiểm toán cụ thể, có thể tìm thấy bảng như thế này, xem số lượng các vấn đề rủi ro ở các cấp độ khác nhau được liệt kê trong báo cáo và tình hình giải quyết. Báo cáo kiểm toán của MoveBit về Cetus đã phát hiện tổng cộng 18 vấn đề rủi ro, bao gồm 1 vấn đề rủi ro nghiêm trọng, 2 vấn đề rủi ro chính, 3 vấn đề rủi ro trung bình, 12 vấn đề rủi ro nhẹ, tất cả đã được giải quyết. Số vấn đề mà MoveBit phát hiện nhiều hơn so với Certik, và Cetus đã giải quyết tất cả những vấn đề này. ❚ Báo cáo kiểm toán từ OtterSec Thời gian báo cáo được tải lên Github: 2023-05-12 Báo cáo kiểm toán của OtterSec về Cetus đã phát hiện 1 vấn đề rủi ro cao, 1 vấn đề rủi ro trung bình và 7 vấn đề rủi ro thông tin, vì bảng trong báo cáo không hiển thị trực tiếp tình hình giải quyết vấn đề rủi ro, nên không chụp màn hình. Trong đó, vấn đề rủi ro cao và vấn đề rủi ro trung bình đã được giải quyết. Vấn đề rủi ro thông tin, đã giải quyết 2 vấn đề, 2 vấn đề đã gửi bản sửa lỗi, còn 3 vấn đề. Sau khi nghiên cứu sơ bộ, 3 vấn đề này lần lượt là: • Vấn đề không nhất quán giữa mã phiên bản Sui và Aptos, có thể ảnh hưởng đến độ chính xác trong việc tính toán giá của pool thanh khoản. • Thiếu xác minh trạng thái tạm dừng, không xác minh xem pool thanh khoản có đang ở trạng thái tạm dừng khi Swap hay không. Nếu pool bị tạm dừng, có thể vẫn thực hiện giao dịch. • Chuyển đổi kiểu u256 thành u64, nếu giá trị vượt quá MAX_U64 sẽ dẫn đến tràn, trong giao dịch lớn, có thể dẫn đến sai sót trong tính toán. Hiện tại không chắc vụ tấn công có liên quan đến các vấn đề trên hay không. ❚ Báo cáo kiểm toán từ Zellic Thời gian báo cáo được tải lên Github: tháng 4 năm 2025 Báo cáo kiểm toán của Zellic về Cetus đã phát hiện 3 vấn đề rủi ro thông tin, đều chưa được sửa chữa: • Một vấn đề ủy quyền hàm, cho phép bất kỳ ai gọi để gửi phí vào tài khoản của bất kỳ đối tác nào. Điều này có vẻ không có rủi ro gì, chỉ là gửi tiền, chứ không phải rút tiền. Vì vậy, Cetus tạm thời cũng không sửa chữa. • Có một hàm đã bị bỏ nhưng vẫn được tham chiếu, mã dư thừa, có vẻ không có rủi ro gì, chỉ là quy chuẩn mã không đủ. • Một vấn đề hiển thị dữ liệu NFT trong UI, lẽ ra có thể sử dụng kiểu ký tự, nhưng Cetus đã sử dụng kiểu dữ liệu TypeName phức tạp hơn trong ngôn ngữ Move. Điều này không phải là vấn đề lớn, và có thể trong tương lai Cetus sẽ phát triển các chức năng khác cho NFT. Tổng thể mà nói, Zellic đã phát hiện 3 vấn đề nhỏ, cơ bản không có rủi ro, thuộc về quy chuẩn mã. Chúng ta cần nhớ ba cơ quan kiểm toán này: MoveBit, OtterSec, Zellic. Bởi vì hiện tại trên thị trường, hầu hết các cơ quan kiểm toán đều chuyên về kiểm toán EVM, ba cơ quan này thuộc về kiểm toán mã ngôn ngữ Move. ➤ Kiểm toán và cấp độ an toàn (lấy ví dụ từ DEX mới) Đầu tiên, các dự án chưa được kiểm toán mã có một số rủi ro Rug nhất định. Dù sao thì họ còn không muốn chi tiền cho việc kiểm toán này, rất khó để tin rằng họ có mong muốn kinh doanh lâu dài. Thứ hai, kiểm toán của Certik thực chất là một loại "kiểm toán theo mối quan hệ". Tại sao lại gọi là "kiểm toán theo mối quan hệ"? Bởi vì Certik có mối quan hệ hợp tác rất chặt chẽ với coinmarketcap. Trên trang dự án của coinmarketcap có một biểu tượng kiểm toán, nhấp vào sẽ vào nền tảng điều hướng skynet của Certik. Coinmarketcap là nền tảng thuộc Binance, gián tiếp tạo ra mối quan hệ hợp tác giữa Certik và Binance. Thực tế, mối quan hệ giữa Binance và Certik luôn tốt, vì vậy hầu hết các dự án muốn lên Binance sẽ tìm kiếm kiểm toán của Certik. Vì vậy, nếu một dự án tìm kiếm kiểm toán của Certik, có khả năng cao là muốn lên Binance. Tuy nhiên, lịch sử đã chứng minh rằng, chỉ với kiểm toán của Certik, xác suất các dự án bị tấn công không hề thấp, ví dụ như DEXX. Thậm chí có những dự án đã FUG, chẳng hạn như ZKasino. Tất nhiên, Certik cũng có một số hỗ trợ an toàn khác, không chỉ có kiểm toán mã, Certik còn quét các trang web, DNS, có một số thông tin an toàn ngoài kiểm toán mã. Thứ ba, nhiều dự án sẽ tìm kiếm 1 đến nhiều cơ quan kiểm toán chất lượng khác để thực hiện kiểm toán an toàn mã. Thứ tư, ngoài kiểm toán mã chuyên nghiệp, một số dự án còn triển khai chương trình thưởng lỗi và cuộc thi kiểm toán, tập hợp ý kiến, loại bỏ lỗ hổng. Vì sản phẩm bị tấn công lần này là sản phẩm DEX, nên lấy một số DEX mới làm ví dụ: --------------------------- ✦✦✦GMX V2, được kiểm toán mã bởi 5 công ty abdk, certora, dedaub, guardian, sherlock, và đã triển khai chương trình thưởng lỗi lên đến 500.000 USD cho từng lỗi. ✦✦✦DeGate, được kiểm toán mã bởi 35 công ty Secbit, Least Authority, Trail of Bits, và đã triển khai chương trình thưởng lỗi lên đến 1.110.000 USD cho từng lỗi. ✦✦✦DYDX V4 được kiểm toán an toàn mã bởi Informal Systems, và đã triển khai chương trình thưởng lỗi lên đến 500.000 USD cho từng lỗi. ✦✦✦hyperliquid được kiểm toán an toàn mã bởi hyperliquid, và đã triển khai chương trình thưởng lỗi lên đến 100.000 USD cho từng lỗi. ✦✦UniversalX được kiểm toán bởi Certik và một cơ quan kiểm toán chuyên gia khác (báo cáo kiểm toán tạm thời đã bị gỡ xuống). ✦GMGN khá đặc biệt, không tìm thấy báo cáo kiểm toán mã, chỉ có chương trình thưởng lỗi lên đến 10.000 USD cho từng lỗi. ➤ Viết ở cuối Sau khi xem xét tình hình kiểm toán an toàn mã của các DEX này, chúng ta có thể thấy rằng, ngay cả như Cetus, một DEX được kiểm toán bởi 3 cơ quan cũng vẫn có thể bị tấn công. Kiểm toán đa chủ thể, kết hợp với chương trình thưởng lỗi hoặc cuộc thi kiểm toán, an toàn tương đối được đảm bảo. Tuy nhiên, đối với một số giao thức Defi mới, vẫn còn vấn đề chưa được sửa chữa trong kiểm toán mã, đó là lý do tại sao Bee Brother đặc biệt chú ý đến tình hình kiểm toán mã của các giao thức Defi mới.