Cetus fue atacado, lo que provocó una reflexión sobre la auditoría de seguridad del código
Recientemente, el intercambio descentralizado Cetus, que forma parte del ecosistema Sui, fue atacado, lo que ha generado un intenso debate en la industria sobre la efectividad de las auditorías de seguridad del código. Actualmente, las razones y el impacto del ataque no están claros, pero podemos repasar la situación de la auditoría de seguridad del código de Cetus.
Una conocida empresa de auditoría de seguridad ha informado que la auditoría de Cetus solo encontró 2 riesgos leves que ya han sido resueltos, y de 9 riesgos informativos, 6 han sido resueltos. La puntuación global otorgada por la institución es de 83.06 puntos, con una puntuación de auditoría de código de hasta 96 puntos.
Sin embargo, los 5 informes de auditoría de código publicados oficialmente por Cetus no incluyen los resultados de la auditoría de las instituciones mencionadas. Estos 5 informes provienen de tres instituciones especializadas: MoveBit, OtterSec y Zellic, y cubren el código de Cetus en las cadenas Aptos y Sui. Dado que este ataque ocurrió en la cadena Sui, nos enfocamos en los informes de auditoría relacionados con la cadena Sui.
El informe de auditoría de MoveBit fue subido a Github el 28 de abril de 2023. El informe identificó un total de 18 problemas de riesgo, incluyendo 1 riesgo crítico, 2 riesgos principales, 3 riesgos moderados y 12 riesgos menores. Es importante señalar que todos estos problemas han sido resueltos.
El informe de auditoría de OtterSec se subió el 12 de mayo de 2023. El informe señala 1 problema de alto riesgo, 1 problema de riesgo moderado y 7 riesgos informativos. De estos, los problemas de alto y moderado riesgo ya han sido resueltos, 2 de los riesgos informativos han sido solucionados, 2 han presentado parches de reparación, y los 3 restantes se relacionan con la consistencia del código entre las versiones de Sui y Aptos, la verificación del estado de pausa y la conversión de tipos de datos.
El informe de auditoría de Zellic fue subido en abril de 2023. El informe encontró 3 riesgos informativos, que actualmente no han sido reparados. Estos riesgos están relacionados principalmente con la autorización de funciones, la redundancia de código y la selección de tipos de datos para mostrar NFTs, y el nivel general de riesgo es bajo.
Cabe mencionar que MoveBit, OtterSec y Zellic son instituciones especializadas en la auditoría de código en el lenguaje Move, lo cual es especialmente importante en el actual mercado dominado por auditorías de EVM.
Al revisar las medidas de seguridad de algunos proyectos DEX emergentes recientes, podemos identificar algunas tendencias:
GMX V2 fue auditado por 5 empresas y lanzó un programa de recompensas por vulnerabilidades de hasta 5 millones de dólares.
DeGate ha contratado a 35 empresas para realizar auditorías, con recompensas por vulnerabilidades que pueden alcanzar hasta 1,11 millones de dólares.
DYDX V4 fue auditado por Informal Systems y también estableció un programa de recompensas por vulnerabilidades de 5 millones de dólares.
Hyperliquid, sobre la base de una auditoría interna, ofrece un premio por errores de 1 millón de dólares.
UniversalX eligió a dos instituciones reconocidas para realizar la auditoría.
Aunque GMGN no ha publicado un informe de auditoría, ha establecido un programa de recompensas por vulnerabilidades con un máximo de 10,000 dólares por incidente.
En resumen, incluso proyectos como Cetus, que han sido auditados por múltiples instituciones, pueden ser objeto de ataques. La combinación de múltiples auditorías con programas de recompensas por errores o competiciones de auditoría puede aumentar, hasta cierto punto, la seguridad del proyecto. Sin embargo, para los protocolos DeFi emergentes, los problemas de auditoría no resueltos siguen siendo motivo de preocupación. Esto también explica por qué los expertos de la industria prestan especial atención a la situación de auditoría de código de los nuevos protocolos.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
16 me gusta
Recompensa
16
8
Republicar
Compartir
Comentar
0/400
SchrodingersFOMO
· hace3h
La auditoría es tan alta que no hay miedo ante un ataque.
Ver originalesResponder0
OffchainWinner
· hace5h
¿Seis vulnerabilidades arregladas y aún así atacados?
Ver originalesResponder0
MetaverseLandlord
· hace5h
¿Para qué sirve la auditoría de código...?
Ver originalesResponder0
ZeroRushCaptain
· hace5h
La auditoría es como pagar un impuesto por la inteligencia.
Ver originalesResponder0
YieldHunter
· hace5h
técnicamente hablando... las puntuaciones de auditoría no significan nada si no puedes asegurar el rendimiento smh
Cetus fue atacado, múltiples auditorías de código no pueden garantizar la seguridad del proyecto
Cetus fue atacado, lo que provocó una reflexión sobre la auditoría de seguridad del código
Recientemente, el intercambio descentralizado Cetus, que forma parte del ecosistema Sui, fue atacado, lo que ha generado un intenso debate en la industria sobre la efectividad de las auditorías de seguridad del código. Actualmente, las razones y el impacto del ataque no están claros, pero podemos repasar la situación de la auditoría de seguridad del código de Cetus.
Una conocida empresa de auditoría de seguridad ha informado que la auditoría de Cetus solo encontró 2 riesgos leves que ya han sido resueltos, y de 9 riesgos informativos, 6 han sido resueltos. La puntuación global otorgada por la institución es de 83.06 puntos, con una puntuación de auditoría de código de hasta 96 puntos.
Sin embargo, los 5 informes de auditoría de código publicados oficialmente por Cetus no incluyen los resultados de la auditoría de las instituciones mencionadas. Estos 5 informes provienen de tres instituciones especializadas: MoveBit, OtterSec y Zellic, y cubren el código de Cetus en las cadenas Aptos y Sui. Dado que este ataque ocurrió en la cadena Sui, nos enfocamos en los informes de auditoría relacionados con la cadena Sui.
El informe de auditoría de MoveBit fue subido a Github el 28 de abril de 2023. El informe identificó un total de 18 problemas de riesgo, incluyendo 1 riesgo crítico, 2 riesgos principales, 3 riesgos moderados y 12 riesgos menores. Es importante señalar que todos estos problemas han sido resueltos.
El informe de auditoría de OtterSec se subió el 12 de mayo de 2023. El informe señala 1 problema de alto riesgo, 1 problema de riesgo moderado y 7 riesgos informativos. De estos, los problemas de alto y moderado riesgo ya han sido resueltos, 2 de los riesgos informativos han sido solucionados, 2 han presentado parches de reparación, y los 3 restantes se relacionan con la consistencia del código entre las versiones de Sui y Aptos, la verificación del estado de pausa y la conversión de tipos de datos.
El informe de auditoría de Zellic fue subido en abril de 2023. El informe encontró 3 riesgos informativos, que actualmente no han sido reparados. Estos riesgos están relacionados principalmente con la autorización de funciones, la redundancia de código y la selección de tipos de datos para mostrar NFTs, y el nivel general de riesgo es bajo.
Cabe mencionar que MoveBit, OtterSec y Zellic son instituciones especializadas en la auditoría de código en el lenguaje Move, lo cual es especialmente importante en el actual mercado dominado por auditorías de EVM.
Al revisar las medidas de seguridad de algunos proyectos DEX emergentes recientes, podemos identificar algunas tendencias:
GMX V2 fue auditado por 5 empresas y lanzó un programa de recompensas por vulnerabilidades de hasta 5 millones de dólares.
DeGate ha contratado a 35 empresas para realizar auditorías, con recompensas por vulnerabilidades que pueden alcanzar hasta 1,11 millones de dólares.
DYDX V4 fue auditado por Informal Systems y también estableció un programa de recompensas por vulnerabilidades de 5 millones de dólares.
Hyperliquid, sobre la base de una auditoría interna, ofrece un premio por errores de 1 millón de dólares.
UniversalX eligió a dos instituciones reconocidas para realizar la auditoría.
Aunque GMGN no ha publicado un informe de auditoría, ha establecido un programa de recompensas por vulnerabilidades con un máximo de 10,000 dólares por incidente.
En resumen, incluso proyectos como Cetus, que han sido auditados por múltiples instituciones, pueden ser objeto de ataques. La combinación de múltiples auditorías con programas de recompensas por errores o competiciones de auditoría puede aumentar, hasta cierto punto, la seguridad del proyecto. Sin embargo, para los protocolos DeFi emergentes, los problemas de auditoría no resueltos siguen siendo motivo de preocupación. Esto también explica por qué los expertos de la industria prestan especial atención a la situación de auditoría de código de los nuevos protocolos.