SUI生態DEX #Cetus 受攻擊，代碼安全審計真的足夠嗎？ 此次Cetus受攻擊的原因及影響暫時還不清楚，我們可以先看一下Cetus的代碼安全審計情況。 外行咱們看不懂具體的技術，但是這個審計摘要是能看懂的。 ➤Certik的審計 來看，Certik對Cetus的代碼安全審計，只發現2個輕度危險、且已解決。還有9個信息性風險，6個已解決。 Certik給出的綜合評分是83.06，代碼審計評分是96分。 ➤Cetus的其他審計報告(SUI鏈) 在Cetus的Github上共列出了5份代碼審計報告，其中不包括Certik的審計。估計項目方也知道，Certik的審計就是個形式，所以沒把這份報告放進來。 Cetus同時支持Aptos和SUI鏈，這5份審計報告分別來自MoveBit、OtterSec和Zellic。其中MoveBit、OtterSec分別對Cetus在Aptos和SUI鏈上的代碼進行審計，Zellic審計的應該也是SUI鏈上的代碼。 因為此次被攻擊的是SUI鏈上的Cetus，因此下面只看Cetus在SUI鏈的審計報告。 ❚ 來自MoveBit的審計報告 報告上傳Github時間：2023-04-28 我們如果看不懂具體的審計內容，可以找到這樣的表格，看看報告中列出的各個級別的風險問題的數量，和解決情況。 MoveBi對Cetust的審計報告，共發現18個風險問題，包括1個致命風險問題、2個主要風險問題、3個中度風險問題、12個輕度風險問題，全部已解決。 比Certik發現的問題要多，並且Cetus已經全部解決了這些問題。 ❚ 來自OtterSec的審計報告 報告上傳Github時間：2023-05-12 OtterSec對Cetus的審計報告共發現1個高風險問題、1個中度風險問題和7個信息性風險，因為報告的表格中沒有直接顯示風險問題解決情況，就不截圖了。 其中，高風險問題和中度風險問題都已經解決。信息性風險問題，解決了2個，有2個提交了修復補丁，還有3個。大致研究了一下，這3個分別是： •Sui與Aptos版本代碼不一致問題，可能影響流動池的價格計算準確性。 •缺少暫停狀態驗證，在Swap時沒有驗證流動性池是否處於暫停狀態。如果池子被暫停可能仍然可以交易。 •將u256類型轉換為u64類型，如果值超過MAX_U64會導致溢出，在大額交易時，可能導致計算出錯。 現在不確定被攻擊是否和以上問題相關。 ❚ 來自Zellic的審計報告 報告上傳Github時間：2025年4月 Zellic對Cetus的審計報告共發現3個信息性風險、都未修復： • 一個函數授權問題，允許任何人調用向任何合夥伴賬戶裡存入費用。這好像沒啥風險，是存錢、又不是取錢。所以Cetus暫時也沒去修復。 • 存在一個已棄用代仍然被引用的函數，代碼冗餘，貌似沒啥風險，只不過代碼規範性不太夠。 • NFT顯示數據中的一個UI呈現問題，本來可以用字符型，但Cetus用了Move語言中比較複雜的TypeName數據類型。這不算啥問題，而且可能未來Cetus會給NFT開發其他功能。 總體上來說，Zellic發現了3個臭氧層子問題，基本上沒啥風險，屬於代碼規範性方面的。 我們要記住這三家審計機構：MoveBit、OtterSec、Zellic。因為現在市場上的審計機構多數是擅長EVM審計，這三家審計機構屬於Move語言代碼審計機構。 ➤審計與安全級別(以新DEX為例) 首先，沒有代碼審計過的項目，是有一定Rug風險的。畢竟他連這個審計的錢都不願意出，很難讓人相信有長期經營的願望。 其次，Certik審計，其實是一種"人情式審計"。為什麼說是"人情式審計"呢，Certik與coinmarketcap有非常緊密的合作。在coinmarketcap的項目頁面上有一個審計圖標，點擊會進入Certik的導航平臺skynet。 coinmarketcap作為幣安旗下的平臺，間接的使Certik與幣安建立了合作關係。事實上幣安和Certik的關係一向不錯，因此想上幣安的項目大部分會尋求Certik的審計。 所以一個項目如果尋求Certik的審計，大概率想上幣安。 但是，歷史證明，僅由Certik審計的項目被攻擊的概率不低，例如DEXX。甚至有的項目已經FUG了，例如ZKasino。 當然，Certik也有其他的一些安全性幫助，不僅有代碼審計，Certik對網站、DNS等會進行掃描，有一些代碼審計以外的安全信息。 第三，不少項目會尋求1家~多家其他的優質審計主體進行代碼安全審計。 第四，除了專業代碼審計，某些項目還會開展漏洞賞金計劃和審計競爭，集思廣議、排除漏洞。 因為本次受攻擊的是DEX產品，所以以一些較新的DEX為例： --------------------------- ✦✦✦GMX V2，由abdk、certora、dedaub、guardian、sherlock共5家公司進行代碼審計，並推出了單項最高500萬美元漏洞賞金計劃。 ✦✦✦DeGate，由Secbit、Least Authority、Trail of Bits共35家公司進行代碼審計，並推出了單項最高111萬美元漏洞賞金計劃。 ✦✦✦DYDX V4由Informal Systems進行代碼安全審計，並推出了單項最高500萬美元漏洞賞金計劃。 ✦✦✦hyperliquid由hyperliquid進行代碼安全審計，並推出了單項最高100萬美元漏洞賞金計劃。 ✦✦UniversalX由是Certik和另一家專家審計機構審計(官方暫時下架了審計報告) ✦GMGN比較特殊，沒有找到代碼審計報告，只有有單項最高1萬美元的漏洞賞金計劃。 ➤寫在最後 經過回顧這些DEX的代碼安全審計情況，我們可以發現，即使像Cetus這樣由3家審計機構共同審計的DEX也仍然會受到攻擊。多主體審計，配合漏洞賞計劃或審計競賽，安全性相對有保障。 但是，對於一些新的Defi協議而言，代碼審計中尚有問題沒有修復，這就是為什麼蜂兄格外關注新的Defi協議的代碼審計情況。