Cetus遭受攻击事件引发的反思：代码审计对安全性的保障程度

近期，SUI生态中的去中心化交易所Cetus遭遇攻击，引发了业内对代码安全审计有效性的讨论。本文将对Cetus的代码审计情况进行回顾，并探讨代码审计对项目安全性的实际影响。

Cetus的代码审计概况

Cetus曾接受多家机构的代码审计，包括MoveBit、OtterSec和Zellic等专业的Move语言代码审计机构。各家机构的审计结果如下：

1. MoveBit审计报告：

   • 发现18个风险问题，包括1个致命风险、2个主要风险、3个中度风险和12个轻度风险
   • 所有问题均已解决

2. OtterSec审计报告：

   • 发现1个高风险问题、1个中度风险问题和7个信息性风险
   • 高风险和中度风险问题已解决，部分信息性风险仍存在

3. Zellic审计报告：

   • 发现3个信息性风险，主要涉及代码规范性，未对安全构成实质威胁

尽管Cetus经过多轮审计，并解决了大部分高风险问题，但仍然遭受了攻击。这一事件凸显了即使经过多家机构审计的项目也可能存在安全隐患。

代码审计的局限性

1. 审计无法保证100%安全：即使经过多轮审计，仍可能存在未被发现的漏洞。

2. 技术更新迭代快：新的攻击方式不断出现，审计可能无法及时覆盖所有潜在风险。

3. 合约交互复杂性：DeFi项目通常涉及多个合约之间的复杂交互，增加了全面审计的难度。

4. 审计质量参差不齐：不同审计机构的专业水平和审计深度可能存在差异。

提高项目安全性的建议

1. 多重审计：选择多家专业审计机构进行审计，特别是针对特定公链（如Move语言）的专业机构。

2. 持续性审计：定期进行安全审计，跟进最新的安全威胁。

3. 漏洞赏金计划：设立高额赏金，鼓励白帽黑客发现并报告潜在漏洞。

4. 审计竞赛：举办审计竞赛，吸引更多安全专家参与项目审计。

5. 代码开源：允许社区审查代码，增加透明度。

6. 安全测试：进行全面的安全测试，包括模拟攻击和压力测试。

7. 保险机制：考虑为用户资产购买保险，提供额外保障。

结语

Cetus遭受攻击事件再次提醒我们，代码审计虽然重要，但并非安全的唯一保障。项目方需要采取全方位的安全措施，包括多重审计、持续性安全评估、漏洞赏金计划等。同时，用户在参与DeFi项目时也应保持警惕，关注项目的安全措施和风险控制能力。只有项目方和用户共同重视安全，才能构建一个更加安全、可靠的区块链生态系统。