Reflexiones sobre el incidente de ataque a Cetus: el grado de garantía de seguridad de las auditorías de código
Recientemente, el intercambio descentralizado Cetus en el ecosistema SUI fue atacado, lo que generó un debate en la industria sobre la efectividad de las auditorías de seguridad del código. Este artículo revisará la situación de la auditoría de código de Cetus y explorará el impacto real de las auditorías de código en la seguridad del proyecto.
Resumen de la auditoría de código de Cetus
Cetus ha sido auditado por varias instituciones, incluidas MoveBit, OtterSec y Zellic, que son agencias profesionales de auditoría de código en el lenguaje Move. Los resultados de las auditorías de cada institución son los siguientes:
Informe de auditoría de MoveBit:
Se detectaron 18 problemas de riesgo, incluidos 1 riesgo crítico, 2 riesgos importantes, 3 riesgos moderados y 12 riesgos leves.
Todos los problemas han sido resueltos
Informe de auditoría de OtterSec:
Se ha encontrado 1 problema de alto riesgo, 1 problema de riesgo moderado y 7 problemas de riesgo informativo.
Se han resuelto los problemas de alto riesgo y riesgo moderado, aún existen algunos riesgos informativos.
Informe de auditoría de Zellic:
Se encontraron 3 riesgos informativos, que principalmente involucran la conformidad del código, sin representar una amenaza sustancial para la seguridad.
A pesar de que Cetus ha pasado por múltiples auditorías y ha abordado la mayoría de los problemas de alto riesgo, todavía sufrió un ataque. Este incidente destaca que incluso los proyectos auditados por múltiples agencias pueden tener vulnerabilidades de seguridad.
Limitaciones de la auditoría de código
La auditoría no puede garantizar una seguridad del 100%: incluso después de varias rondas de auditoría, aún pueden existir vulnerabilidades no detectadas.
Actualización técnica rápida: nuevas formas de ataque continúan apareciendo, y las auditorías pueden no cubrir a tiempo todos los riesgos potenciales.
Complejidad de la interacción de contratos: Los proyectos DeFi suelen implicar interacciones complejas entre múltiples contratos, lo que aumenta la dificultad de una auditoría exhaustiva.
La calidad de la auditoría varía: puede haber diferencias en el nivel profesional y la profundidad de la auditoría entre diferentes entidades de auditoría.
Sugerencias para mejorar la seguridad del proyecto
Auditoría múltiple: seleccionar varias agencias de auditoría profesionales para realizar auditorías, especialmente agencias especializadas en ciertas cadenas de bloques públicas (como el lenguaje Move).
Auditoría continua: realizar auditorías de seguridad periódicas y seguir las últimas amenazas de seguridad.
Programa de recompensas por vulnerabilidades: Establecer recompensas altas para alentar a los hackers éticos a descubrir y reportar vulnerabilidades potenciales.
Competencia de auditoría: organizar una competencia de auditoría para atraer a más expertos en seguridad a participar en la auditoría del proyecto.
Código abierto: permite a la comunidad revisar el código, aumentando la transparencia.
Pruebas de seguridad: realizar pruebas de seguridad exhaustivas, incluidas pruebas de ataque simulado y pruebas de estrés.
Mecanismo de seguro: considerar la compra de seguros para los activos de los usuarios, proporcionando una protección adicional.
Conclusión
El ataque a Cetus nos recuerda nuevamente que, aunque la auditoría de código es importante, no es la única garantía de seguridad. Los desarrolladores del proyecto deben implementar medidas de seguridad integrales, que incluyan auditorías múltiples, evaluaciones de seguridad continuas, programas de recompensas por vulnerabilidades, entre otros. Al mismo tiempo, los usuarios también deben mantenerse vigilantes al participar en proyectos DeFi, prestando atención a las medidas de seguridad y la capacidad de control de riesgos del proyecto. Solo cuando tanto los desarrolladores como los usuarios valoren la seguridad en conjunto, se podrá construir un ecosistema de blockchain más seguro y confiable.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
19 me gusta
Recompensa
19
6
Compartir
Comentar
0/400
BearMarketMonk
· hace2h
Nadie puede salvar defectos de diseño de alto nivel.
Ver originalesResponder0
DefiPlaybook
· hace2h
Según las estadísticas de datos on-chain, este tipo de proyectos de auditoría aún tienen una tasa de fracaso del 23.7%.
Ver originalesResponder0
AltcoinHunter
· 08-05 15:08
Después de estallar el proyecto, ¿tienes que buscar a alguien para culpar, verdad?
Ver originalesResponder0
WalletWhisperer
· 08-03 17:13
los patrones estadísticos nunca mienten... las auditorías son solo una falsa sensación de seguridad
Cetus fue atacado: ¿puede realmente la auditoría de código garantizar la seguridad de las Finanzas descentralizadas?
Reflexiones sobre el incidente de ataque a Cetus: el grado de garantía de seguridad de las auditorías de código
Recientemente, el intercambio descentralizado Cetus en el ecosistema SUI fue atacado, lo que generó un debate en la industria sobre la efectividad de las auditorías de seguridad del código. Este artículo revisará la situación de la auditoría de código de Cetus y explorará el impacto real de las auditorías de código en la seguridad del proyecto.
Resumen de la auditoría de código de Cetus
Cetus ha sido auditado por varias instituciones, incluidas MoveBit, OtterSec y Zellic, que son agencias profesionales de auditoría de código en el lenguaje Move. Los resultados de las auditorías de cada institución son los siguientes:
Informe de auditoría de MoveBit:
Informe de auditoría de OtterSec:
Informe de auditoría de Zellic:
A pesar de que Cetus ha pasado por múltiples auditorías y ha abordado la mayoría de los problemas de alto riesgo, todavía sufrió un ataque. Este incidente destaca que incluso los proyectos auditados por múltiples agencias pueden tener vulnerabilidades de seguridad.
Limitaciones de la auditoría de código
La auditoría no puede garantizar una seguridad del 100%: incluso después de varias rondas de auditoría, aún pueden existir vulnerabilidades no detectadas.
Actualización técnica rápida: nuevas formas de ataque continúan apareciendo, y las auditorías pueden no cubrir a tiempo todos los riesgos potenciales.
Complejidad de la interacción de contratos: Los proyectos DeFi suelen implicar interacciones complejas entre múltiples contratos, lo que aumenta la dificultad de una auditoría exhaustiva.
La calidad de la auditoría varía: puede haber diferencias en el nivel profesional y la profundidad de la auditoría entre diferentes entidades de auditoría.
Sugerencias para mejorar la seguridad del proyecto
Auditoría múltiple: seleccionar varias agencias de auditoría profesionales para realizar auditorías, especialmente agencias especializadas en ciertas cadenas de bloques públicas (como el lenguaje Move).
Auditoría continua: realizar auditorías de seguridad periódicas y seguir las últimas amenazas de seguridad.
Programa de recompensas por vulnerabilidades: Establecer recompensas altas para alentar a los hackers éticos a descubrir y reportar vulnerabilidades potenciales.
Competencia de auditoría: organizar una competencia de auditoría para atraer a más expertos en seguridad a participar en la auditoría del proyecto.
Código abierto: permite a la comunidad revisar el código, aumentando la transparencia.
Pruebas de seguridad: realizar pruebas de seguridad exhaustivas, incluidas pruebas de ataque simulado y pruebas de estrés.
Mecanismo de seguro: considerar la compra de seguros para los activos de los usuarios, proporcionando una protección adicional.
Conclusión
El ataque a Cetus nos recuerda nuevamente que, aunque la auditoría de código es importante, no es la única garantía de seguridad. Los desarrolladores del proyecto deben implementar medidas de seguridad integrales, que incluyan auditorías múltiples, evaluaciones de seguridad continuas, programas de recompensas por vulnerabilidades, entre otros. Al mismo tiempo, los usuarios también deben mantenerse vigilantes al participar en proyectos DeFi, prestando atención a las medidas de seguridad y la capacidad de control de riesgos del proyecto. Solo cuando tanto los desarrolladores como los usuarios valoren la seguridad en conjunto, se podrá construir un ecosistema de blockchain más seguro y confiable.