Cetus Diserang Memicu Refleksi Audit Keamanan Kode
Belakangan ini, bursa terdesentralisasi dalam ekosistem Sui, Cetus, mengalami serangan, yang memicu perdebatan di industri mengenai efektivitas audit keamanan kode. Saat ini, penyebab dan dampak serangan tersebut belum jelas, tetapi kita dapat terlebih dahulu meninjau situasi audit keamanan kode Cetus.
Sebuah lembaga audit keamanan terkemuka melaporkan hasil audit terhadap Cetus menunjukkan bahwa hanya ada 2 risiko ringan yang ditemukan dan telah diselesaikan, dari 9 risiko informatif, 6 di antaranya telah diselesaikan. Lembaga tersebut memberikan skor keseluruhan sebesar 83,06 poin, dengan skor audit kode mencapai 96 poin.
Namun, hasil audit dari lembaga di atas tidak termasuk dalam 5 laporan audit kode yang diumumkan oleh resmi Cetus. Kelima laporan ini berasal dari tiga lembaga profesional, yaitu MoveBit, OtterSec, dan Zellic, yang mencakup kode Cetus di jaringan Aptos dan Sui. Mengingat serangan ini terjadi di jaringan Sui, kami fokus pada laporan audit terkait Sui.
Laporan audit MoveBit diunggah ke Github pada 28 April 2023. Laporan tersebut menemukan total 18 masalah risiko, termasuk 1 risiko fatal, 2 risiko utama, 3 risiko sedang, dan 12 risiko ringan. Perlu dicatat bahwa semua masalah ini telah diselesaikan.
Laporan audit OtterSec diunggah pada 12 Mei 2023. Laporan tersebut mencatat 1 masalah berisiko tinggi, 1 masalah berisiko sedang, dan 7 risiko informatif. Di antara masalah berisiko tinggi dan sedang telah diselesaikan, 2 dari 7 risiko informatif telah diselesaikan, 2 telah mengajukan patch perbaikan, dan 3 sisanya terkait dengan konsistensi kode versi Sui dan Aptos, validasi status terhenti, dan konversi tipe data.
Laporan audit Zellic diunggah pada bulan April 2023. Laporan tersebut menemukan 3 risiko informasi, yang saat ini belum diperbaiki. Risiko-risiko ini terutama terkait dengan otorisasi fungsi, redundansi kode, dan pemilihan jenis data tampilan NFT, dengan tingkat risiko keseluruhan yang cukup rendah.
Perlu dicatat bahwa MoveBit, OtterSec, dan Zellic adalah lembaga yang khusus melakukan audit kode bahasa Move, yang sangat penting di pasar saat ini yang didominasi oleh audit EVM.
Melihat kembali beberapa langkah keamanan dari proyek DEX yang muncul baru-baru ini, kita dapat menemukan beberapa tren:
GMX V2 telah diaudit kode oleh 5 perusahaan dan meluncurkan program hadiah bug hingga 5 juta dolar.
DeGate telah menyewa 35 perusahaan untuk melakukan audit, dengan hadiah bug tertinggi mencapai 1,11 juta dolar AS.
DYDX V4 diaudit oleh Informal Systems, dan juga menetapkan program hadiah bug sebesar 5 juta dolar.
Hyperliquid menawarkan hadiah bug sebesar 1 juta dolar AS berdasarkan audit mandiri.
UniversalX memilih dua lembaga terkenal untuk melakukan audit.
Meskipun GMGN belum mengumumkan laporan audit, mereka telah menetapkan program hadiah bug dengan batas maksimum $10.000 per item.
Secara keseluruhan, bahkan proyek seperti Cetus yang telah diaudit oleh berbagai lembaga sekalipun dapat mengalami serangan. Audit yang dilakukan oleh banyak pihak disertai dengan program bounty bug atau kompetisi audit dapat meningkatkan keamanan proyek hingga tingkat tertentu. Namun, untuk protokol DeFi yang baru muncul, masalah audit yang belum diperbaiki tetap menjadi perhatian. Ini juga menjelaskan mengapa para ahli di industri sangat memperhatikan situasi audit kode dari protokol baru.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
17 Suka
Hadiah
17
8
Posting ulang
Bagikan
Komentar
0/400
SchrodingersFOMO
· 7jam yang lalu
Audit dibagi begitu tinggi, tidak panik meskipun diserang.
Lihat AsliBalas0
OffchainWinner
· 8jam yang lalu
Enam celah sudah diperbaiki masih diserang?
Lihat AsliBalas0
MetaverseLandlord
· 8jam yang lalu
Untuk apa audit kode itu...
Lihat AsliBalas0
ZeroRushCaptain
· 8jam yang lalu
Audit adalah membayar pajak IQ.
Lihat AsliBalas0
YieldHunter
· 8jam yang lalu
secara teknis... skor audit tidak ada artinya jika Anda tidak bisa mengamankan hasil smh
Cetus diserang, audit kode ganda sulit menjaga keamanan proyek
Cetus Diserang Memicu Refleksi Audit Keamanan Kode
Belakangan ini, bursa terdesentralisasi dalam ekosistem Sui, Cetus, mengalami serangan, yang memicu perdebatan di industri mengenai efektivitas audit keamanan kode. Saat ini, penyebab dan dampak serangan tersebut belum jelas, tetapi kita dapat terlebih dahulu meninjau situasi audit keamanan kode Cetus.
Sebuah lembaga audit keamanan terkemuka melaporkan hasil audit terhadap Cetus menunjukkan bahwa hanya ada 2 risiko ringan yang ditemukan dan telah diselesaikan, dari 9 risiko informatif, 6 di antaranya telah diselesaikan. Lembaga tersebut memberikan skor keseluruhan sebesar 83,06 poin, dengan skor audit kode mencapai 96 poin.
Namun, hasil audit dari lembaga di atas tidak termasuk dalam 5 laporan audit kode yang diumumkan oleh resmi Cetus. Kelima laporan ini berasal dari tiga lembaga profesional, yaitu MoveBit, OtterSec, dan Zellic, yang mencakup kode Cetus di jaringan Aptos dan Sui. Mengingat serangan ini terjadi di jaringan Sui, kami fokus pada laporan audit terkait Sui.
Laporan audit MoveBit diunggah ke Github pada 28 April 2023. Laporan tersebut menemukan total 18 masalah risiko, termasuk 1 risiko fatal, 2 risiko utama, 3 risiko sedang, dan 12 risiko ringan. Perlu dicatat bahwa semua masalah ini telah diselesaikan.
Laporan audit OtterSec diunggah pada 12 Mei 2023. Laporan tersebut mencatat 1 masalah berisiko tinggi, 1 masalah berisiko sedang, dan 7 risiko informatif. Di antara masalah berisiko tinggi dan sedang telah diselesaikan, 2 dari 7 risiko informatif telah diselesaikan, 2 telah mengajukan patch perbaikan, dan 3 sisanya terkait dengan konsistensi kode versi Sui dan Aptos, validasi status terhenti, dan konversi tipe data.
Laporan audit Zellic diunggah pada bulan April 2023. Laporan tersebut menemukan 3 risiko informasi, yang saat ini belum diperbaiki. Risiko-risiko ini terutama terkait dengan otorisasi fungsi, redundansi kode, dan pemilihan jenis data tampilan NFT, dengan tingkat risiko keseluruhan yang cukup rendah.
Perlu dicatat bahwa MoveBit, OtterSec, dan Zellic adalah lembaga yang khusus melakukan audit kode bahasa Move, yang sangat penting di pasar saat ini yang didominasi oleh audit EVM.
Melihat kembali beberapa langkah keamanan dari proyek DEX yang muncul baru-baru ini, kita dapat menemukan beberapa tren:
GMX V2 telah diaudit kode oleh 5 perusahaan dan meluncurkan program hadiah bug hingga 5 juta dolar.
DeGate telah menyewa 35 perusahaan untuk melakukan audit, dengan hadiah bug tertinggi mencapai 1,11 juta dolar AS.
DYDX V4 diaudit oleh Informal Systems, dan juga menetapkan program hadiah bug sebesar 5 juta dolar.
Hyperliquid menawarkan hadiah bug sebesar 1 juta dolar AS berdasarkan audit mandiri.
UniversalX memilih dua lembaga terkenal untuk melakukan audit.
Meskipun GMGN belum mengumumkan laporan audit, mereka telah menetapkan program hadiah bug dengan batas maksimum $10.000 per item.
Secara keseluruhan, bahkan proyek seperti Cetus yang telah diaudit oleh berbagai lembaga sekalipun dapat mengalami serangan. Audit yang dilakukan oleh banyak pihak disertai dengan program bounty bug atau kompetisi audit dapat meningkatkan keamanan proyek hingga tingkat tertentu. Namun, untuk protokol DeFi yang baru muncul, masalah audit yang belum diperbaiki tetap menjadi perhatian. Ini juga menjelaskan mengapa para ahli di industri sangat memperhatikan situasi audit kode dari protokol baru.