TVBee
TVBee
HUMA-4,05%
CETUS-3,09%
SOL-3,88%
SUI-3,39%
GMX-3,67%
AAVE-4,36%
CORE-2,19%
DYDX-4,65%
1INCH-2,91%
PLUME-6,73%
SUSHI-4,37%
MORPHO-3,37%
PENDLE-5,93%
Hệ sinh thái DEX #Cetus trên SUI bị tấn công, liệu việc kiểm toán an toàn mã có thực sự đủ không? Nguyên nhân và ảnh hưởng của vụ tấn công Cetus hiện vẫn chưa rõ ràng, chúng ta có thể xem xét tình hình kiểm toán an toàn mã của Cetus trước. Chúng ta không hiểu rõ các kỹ thuật cụ thể, nhưng bản tóm tắt kiểm toán này thì có thể hiểu được. ➤ Kiểm toán của Certik Theo đó, Certik đã thực hiện kiểm toán an toàn mã cho Cetus và chỉ phát hiện 2 vấn đề nguy hiểm nhẹ, và đã được giải quyết. Còn 9 vấn đề rủi ro thông tin, 6 vấn đề đã được giải quyết. Điểm tổng hợp mà Certik đưa ra là 83.06, điểm kiểm toán mã là 96 điểm. ➤ Các báo cáo kiểm toán khác của Cetus (chuỗi SUI) Trên Github của Cetus có tổng cộng 5 báo cáo kiểm toán mã, không bao gồm kiểm toán của Certik. Có lẽ dự án cũng biết rằng kiểm toán của Certik chỉ là hình thức, nên không đưa báo cáo này vào. Cetus đồng thời hỗ trợ chuỗi Aptos và SUI, 5 báo cáo kiểm toán này đến từ MoveBit, OtterSec và Zellic. Trong đó, MoveBit và OtterSec lần lượt kiểm toán mã của Cetus trên chuỗi Aptos và SUI, Zellic cũng kiểm toán mã trên chuỗi SUI. Vì lần này bị tấn công là Cetus trên chuỗi SUI, nên dưới đây chỉ xem báo cáo kiểm toán của Cetus trên chuỗi SUI. ❚ Báo cáo kiểm toán từ MoveBit Thời gian báo cáo được tải lên Github: 2023-04-28 Nếu chúng ta không hiểu rõ nội dung kiểm toán cụ thể, có thể tìm thấy bảng như thế này, xem số lượng các vấn đề rủi ro ở các cấp độ khác nhau được liệt kê trong báo cáo và tình hình giải quyết. Báo cáo kiểm toán của MoveBit về Cetus đã phát hiện tổng cộng 18 vấn đề rủi ro, bao gồm 1 vấn đề rủi ro nghiêm trọng, 2 vấn đề rủi ro chính, 3 vấn đề rủi ro trung bình, 12 vấn đề rủi ro nhẹ, tất cả đã được giải quyết. Số vấn đề mà MoveBit phát hiện nhiều hơn so với Certik, và Cetus đã giải quyết tất cả những vấn đề này. ❚ Báo cáo kiểm toán từ OtterSec Thời gian báo cáo được tải lên Github: 2023-05-12 Báo cáo kiểm toán của OtterSec về Cetus đã phát hiện 1 vấn đề rủi ro cao, 1 vấn đề rủi ro trung bình và 7 vấn đề rủi ro thông tin, vì bảng trong báo cáo không hiển thị trực tiếp tình hình giải quyết vấn đề rủi ro, nên không chụp màn hình. Trong đó, vấn đề rủi ro cao và vấn đề rủi ro trung bình đã được giải quyết. Vấn đề rủi ro thông tin, đã giải quyết 2 vấn đề, 2 vấn đề đã gửi bản sửa lỗi, còn 3 vấn đề. Sau khi nghiên cứu sơ bộ, 3 vấn đề này lần lượt là: • Vấn đề không nhất quán giữa mã phiên bản Sui và Aptos, có thể ảnh hưởng đến độ chính xác trong việc tính toán giá của pool thanh khoản. • Thiếu xác minh trạng thái tạm dừng, không xác minh xem pool thanh khoản có đang ở trạng thái tạm dừng khi Swap hay không. Nếu pool bị tạm dừng, có thể vẫn thực hiện giao dịch. • Chuyển đổi kiểu u256 thành u64, nếu giá trị vượt quá MAX_U64 sẽ dẫn đến tràn, trong giao dịch lớn, có thể dẫn đến sai sót trong tính toán. Hiện tại không chắc vụ tấn công có liên quan đến các vấn đề trên hay không. ❚ Báo cáo kiểm toán từ Zellic Thời gian báo cáo được tải lên Github: tháng 4 năm 2025 Báo cáo kiểm toán của Zellic về Cetus đã phát hiện 3 vấn đề rủi ro thông tin, đều chưa được sửa chữa: • Một vấn đề ủy quyền hàm, cho phép bất kỳ ai gọi để gửi phí vào tài khoản của bất kỳ đối tác nào. Điều này có vẻ không có rủi ro gì, chỉ là gửi tiền, chứ không phải rút tiền. Vì vậy, Cetus tạm thời cũng không sửa chữa. • Có một hàm đã bị bỏ nhưng vẫn được tham chiếu, mã dư thừa, có vẻ không có rủi ro gì, chỉ là quy chuẩn mã không đủ. • Một vấn đề hiển thị dữ liệu NFT trong UI, lẽ ra có thể sử dụng kiểu ký tự, nhưng Cetus đã sử dụng kiểu dữ liệu TypeName phức tạp hơn trong ngôn ngữ Move. Điều này không phải là vấn đề lớn, và có thể trong tương lai Cetus sẽ phát triển các chức năng khác cho NFT. Tổng thể mà nói, Zellic đã phát hiện 3 vấn đề nhỏ, cơ bản không có rủi ro, thuộc về quy chuẩn mã. Chúng ta cần nhớ ba cơ quan kiểm toán này: MoveBit, OtterSec, Zellic. Bởi vì hiện tại trên thị trường, hầu hết các cơ quan kiểm toán đều chuyên về kiểm toán EVM, ba cơ quan này thuộc về kiểm toán mã ngôn ngữ Move. ➤ Kiểm toán và cấp độ an toàn (lấy ví dụ từ DEX mới) Đầu tiên, các dự án chưa được kiểm toán mã có một số rủi ro Rug nhất định. Dù sao thì họ còn không muốn chi tiền cho việc kiểm toán này, rất khó để tin rằng họ có mong muốn kinh doanh lâu dài. Thứ hai, kiểm toán của Certik thực chất là một loại "kiểm toán theo mối quan hệ". Tại sao lại gọi là "kiểm toán theo mối quan hệ"? Bởi vì Certik có mối quan hệ hợp tác rất chặt chẽ với coinmarketcap. Trên trang dự án của coinmarketcap có một biểu tượng kiểm toán, nhấp vào sẽ vào nền tảng điều hướng skynet của Certik. Coinmarketcap là nền tảng thuộc Binance, gián tiếp tạo ra mối quan hệ hợp tác giữa Certik và Binance. Thực tế, mối quan hệ giữa Binance và Certik luôn tốt, vì vậy hầu hết các dự án muốn lên Binance sẽ tìm kiếm kiểm toán của Certik. Vì vậy, nếu một dự án tìm kiếm kiểm toán của Certik, có khả năng cao là muốn lên Binance. Tuy nhiên, lịch sử đã chứng minh rằng, chỉ với kiểm toán của Certik, xác suất các dự án bị tấn công không hề thấp, ví dụ như DEXX. Thậm chí có những dự án đã FUG, chẳng hạn như ZKasino. Tất nhiên, Certik cũng có một số hỗ trợ an toàn khác, không chỉ có kiểm toán mã, Certik còn quét các trang web, DNS, có một số thông tin an toàn ngoài kiểm toán mã. Thứ ba, nhiều dự án sẽ tìm kiếm 1 đến nhiều cơ quan kiểm toán chất lượng khác để thực hiện kiểm toán an toàn mã. Thứ tư, ngoài kiểm toán mã chuyên nghiệp, một số dự án còn triển khai chương trình thưởng lỗi và cuộc thi kiểm toán, tập hợp ý kiến, loại bỏ lỗ hổng. Vì sản phẩm bị tấn công lần này là sản phẩm DEX, nên lấy một số DEX mới làm ví dụ: --------------------------- ✦✦✦GMX V2, được kiểm toán mã bởi 5 công ty abdk, certora, dedaub, guardian, sherlock, và đã triển khai chương trình thưởng lỗi lên đến 500.000 USD cho từng lỗi. ✦✦✦DeGate, được kiểm toán mã bởi 35 công ty Secbit, Least Authority, Trail of Bits, và đã triển khai chương trình thưởng lỗi lên đến 1.110.000 USD cho từng lỗi. ✦✦✦DYDX V4 được kiểm toán an toàn mã bởi Informal Systems, và đã triển khai chương trình thưởng lỗi lên đến 500.000 USD cho từng lỗi. ✦✦✦hyperliquid được kiểm toán an toàn mã bởi hyperliquid, và đã triển khai chương trình thưởng lỗi lên đến 100.000 USD cho từng lỗi. ✦✦UniversalX được kiểm toán bởi Certik và một cơ quan kiểm toán chuyên gia khác (báo cáo kiểm toán tạm thời đã bị gỡ xuống). ✦GMGN khá đặc biệt, không tìm thấy báo cáo kiểm toán mã, chỉ có chương trình thưởng lỗi lên đến 10.000 USD cho từng lỗi. ➤ Viết ở cuối Sau khi xem xét tình hình kiểm toán an toàn mã của các DEX này, chúng ta có thể thấy rằng, ngay cả như Cetus, một DEX được kiểm toán bởi 3 cơ quan cũng vẫn có thể bị tấn công. Kiểm toán đa chủ thể, kết hợp với chương trình thưởng lỗi hoặc cuộc thi kiểm toán, an toàn tương đối được đảm bảo. Tuy nhiên, đối với một số giao thức Defi mới, vẫn còn vấn đề chưa được sửa chữa trong kiểm toán mã, đó là lý do tại sao Bee Brother đặc biệt chú ý đến tình hình kiểm toán mã của các giao thức Defi mới.
Gallery 1
TVBee
TVBee
Những dự án DeFi mà mọi người "điên cuồng" đổ tiền vào có mức độ an toàn như thế nào? An toàn không phải chuyện nhỏ! Đặc biệt đối với các sản phẩm DeFi/PayFi/RwaFi, khi người dùng gửi tiền hoặc cấp quyền vào đó, mức độ an toàn luôn là yếu tố quan trọng hàng đầu. Những sản phẩm DeFi trưởng thành như Uniswap, GMX, DyDx đã trải qua thời gian dài thử thách từ thị trường (và hacker), do đó mức độ an toàn tương đối cao. Tuy nhiên, các ứng dụng DeFi mới lại tồn tại nhiều yếu tố không chắc chắn hơn. Đây là lý do tại sao các sản phẩm DeFi mới thường có tỷ suất lợi nhuận hoặc phần thưởng airdrop cao hơn. Vì đây là sự bù đắp rủi ro cho những người tham gia sớm. Mặc dù kiểm toán an toàn mã nguồn không thể đảm bảo hoàn toàn mức độ an toàn, nhưng có thể tương đối đảm bảo. Bài viết này sẽ cùng mọi người xem xét tình hình kiểm toán mã nguồn và quản lý an toàn của một số sản phẩm DeFi/PayFi/RwaFi mới. ➤ Huma @humafinance ❚ Giới thiệu dự án Huma là dự án PayFi dựa trên hệ sinh thái Solana và mạng Stellar, với mục tiêu tái định hình thanh toán, lợi nhuận và tài trợ trên blockchain. ❚ Quy mô hệ sinh thái Hiện tại, Huma đang ở giai đoạn trước TGE, với giới hạn quy mô vốn tham gia vào hệ sinh thái. Theo trang web của Huma, giao thức này hiện có tổng thanh khoản hoạt động là 104 triệu USD và tổng khối lượng giao dịch là 4,3 tỷ USD. ❚ Tổ chức kiểm toán mã nguồn: Halborn Halborn được thành lập vào năm 2019, đã kiểm toán mã nguồn của nhiều dự án tương tự như chuỗi công khai, DeFi, ví dụ: Thorchain, Taiko, Core Chain, Story, Plume, Solayer, Zetachain, Avalanche, Persistenct, v.v. ❚ Báo cáo kiểm toán Báo cáo kiểm toán cho thấy Huma đã phát hiện 2 vấn đề rủi ro thấp và đã được giải quyết. 2 vấn đề rủi ro thông tin đã được biết. Không phát hiện vấn đề rủi ro trung bình hoặc cao. ❚ Tiền thưởng lỗi và cuộc thi an toàn Vào tháng 7 năm 2026, Huma đã khởi động chương trình tiền thưởng lỗi trị giá 50.000 USD trên nền tảng Cantina. Cantina là một nền tảng thị trường an toàn Web3, được thành lập vào năm 2023, cung cấp các dịch vụ như cuộc thi an toàn, tiền thưởng lỗi, kiểm tra an toàn. Các dự án nổi tiếng như Uniswap, Morpho, Pendle, PancakeSwap đã khởi động chương trình tiền thưởng lỗi hoặc cuộc thi an toàn trên nền tảng này. ➤ DefiApp @defidotapp ❚ Giới thiệu dự án DefiApp là một ứng dụng DeFi tổng hợp dựa trên chuỗi trừu tượng, bao gồm Swap giao ngay, hợp đồng tương lai vĩnh viễn và cho vay. ❚ Quy mô hệ sinh thái Theo DeFillama, khối lượng giao dịch tổng hợp trong 24 giờ của DefiApp là 137,38 triệu USD. Khối lượng giao dịch tổng hợp cao nhất trong ngày là 225,76 triệu USD. ❚ Tổ chức kiểm toán mã nguồn Tài liệu của DefiApp cho thấy các phần khác nhau được kiểm toán bởi các tổ chức khác nhau: ✦ Phần cơ sở hạ tầng: Sela Sela là một tổ chức dịch vụ an toàn đám mây, đối tác của họ bao gồm Microsoft, Google, AWZ và Alibaba. ✦ Phần ứng dụng web: Halborn ✦ Phần hợp đồng thông minh: Cantina ✦ Phần airdrop: Pashov Pashov Audit Group là một công ty an toàn blockchain, đã kiểm toán các dự án như DeFi, trò chơi và chuỗi trừu tượng, ví dụ: Sushi, 1inch, Aave, Ethena, Radiant, v.v. ❚ Báo cáo kiểm toán Liên kết báo cáo kiểm toán mã nguồn trong tài liệu của DefiApp dẫn đến Github của họ, nhưng liên kết không mở được, và cũng không tìm thấy bất kỳ báo cáo kiểm toán nào trên Github của họ. Không rõ liệu kiểm toán chưa hoàn thành? Hay chưa được gửi lên Github? Hoặc đã bị gỡ xuống? @defidotapp Trên trang web của các tổ chức kiểm toán được liệt kê, chỉ tìm thấy báo cáo kiểm toán của Pashov đối với phần airdrop của DefiApp. Báo cáo kiểm toán của Pashov cho thấy mã nguồn phần airdrop của DefiApp đã phát hiện 1 vấn đề rủi ro cao, 2 vấn đề rủi ro trung bình và 10 vấn đề rủi ro thấp. Ngoại trừ 2 vấn đề rủi ro thấp, tất cả các vấn đề còn lại đã được giải quyết. ➤ StandX @StandX_Official ❚ Giới thiệu dự án DEX hợp đồng tương lai vĩnh viễn, hiện hỗ trợ các chuỗi Solana và BSC. ❚ Quy mô hệ sinh thái Theo trang web của StandX, TVL của StandX là 22,97 triệu USD, tổng số giao dịch trên chuỗi là 30.468 giao dịch, số người tham gia hoạt động là 7.798 người. ❚ Tổ chức kiểm toán mã nguồn Mã nguồn của StandX bao gồm cả chuỗi EVM và Solana, được kiểm toán kép bởi RigSec và WatchPug. RigSec là một công ty chuyên về an toàn tài sản kỹ thuật số, hiện tập trung vào thị trường châu Á, đã kiểm toán các dự án như edgeX Exchange, v.v. WatchPug là một công ty kiểm toán an toàn blockchain, chuyên về kiểm toán mã nguồn của các giao thức DeFi, dự án NFT và ứng dụng Web3. Các dự án đã kiểm toán bao gồm Equilibria Finance, Penpie, v.v. ❚ Báo cáo kiểm toán Hai tổ chức kiểm toán đã kiểm toán mã nguồn chuỗi Solana và EVM của StandX, báo cáo cho thấy tất cả các vấn đề rủi ro trung bình trở lên đã được giải quyết. Tồn tại một số vấn đề rủi ro thấp, rủi ro thông tin và đề xuất tối ưu hóa mã nguồn. ➤ Lời kết Nhìn chung, mức độ an toàn của Huma cao hơn. Không chỉ các vấn đề rủi ro được phát hiện trong báo cáo kiểm toán mã nguồn có mức độ thấp hơn, mà chương trình tiền thưởng lỗi đã hoạt động gần 1 năm. Điều này có thể giải thích tại sao mỗi lần Huma mở cửa gửi tiền, hạn mức lại được lấp đầy trong chưa đầy 1 giờ. Ý thức an toàn của các nhà đầu tư lớn vẫn khá cao. Bốn báo cáo kiểm toán của StandX cho thấy các vấn đề rủi ro trung bình trở lên đã được giải quyết, mức độ rủi ro cũng tương đối thấp. Tuy nhiên, hai công ty kiểm toán mã nguồn thực hiện kiểm toán lại không quá nổi tiếng, mức độ an toàn của StandX vẫn tồn tại một số yếu tố không chắc chắn. Đối với DefiApp, có thể ngoài hợp đồng airdrop, các phần khác có thể chưa hoàn thành kiểm toán. Hoặc kiểm toán đã hoàn thành, nhưng đội ngũ đang sửa chữa các vấn đề. Cuối cùng, đối với các sản phẩm DeFi mới, ngay cả khi đã thông qua kiểm toán an toàn mã nguồn, vẫn không thể đảm bảo mức độ an toàn đầy đủ. Nhắc nhở mọi người nên thận trọng khi tham gia các dự án DeFi mới, và cần cẩn thận hơn trong quá trình thao tác!
Gallery 1
Gallery 2
Gallery 3
Gallery 4
Hiển thị ngôn ngữ gốc
Nguồn từtwitter
39
33,8 N
Nội dung trên trang này được cung cấp bởi các bên thứ ba. Trừ khi có quy định khác, OKX không phải là tác giả của bài viết được trích dẫn và không tuyên bố bất kỳ bản quyền nào trong các tài liệu. Nội dung được cung cấp chỉ nhằm mục đích thông tin và không thể hiện quan điểm của OKX. Nội dung này không nhằm chứng thực dưới bất kỳ hình thức nào và không được coi là lời khuyên đầu tư hoặc lời chào mời mua bán tài sản kỹ thuật số. Việc sử dụng AI nhằm cung cấp nội dung tóm tắt hoặc thông tin khác, nội dung do AI tạo ra có thể không chính xác hoặc không nhất quán. Vui lòng đọc bài viết trong liên kết để biết thêm chi tiết và thông tin. OKX không chịu trách nhiệm về nội dung được lưu trữ trên trang web của bên thứ ba. Việc nắm giữ tài sản kỹ thuật số, bao gồm stablecoin và NFT, có độ rủi ro cao và có thể biến động rất lớn. Bạn phải cân nhắc kỹ lưỡng xem việc giao dịch hoặc nắm giữ tài sản kỹ thuật số có phù hợp hay không dựa trên tình hình tài chính của bạn.