Reflexões sobre o incidente de ataque ao Cetus: o nível de proteção da segurança através de auditorias de código
Recentemente, a exchange descentralizada Cetus no ecossistema SUI foi atacada, levantando discussões na indústria sobre a eficácia das auditorias de segurança de código. Este artigo revisará a situação da auditoria de código da Cetus e explorará o impacto real das auditorias de código na segurança dos projetos.
Visão Geral da Auditoria de Código do Cetus
Cetus já foi submetido a auditorias de código por várias instituições, incluindo MoveBit, OtterSec e Zellic, profissionais especializados em auditorias de código Move. Os resultados das auditorias de cada instituição são os seguintes:
Relatório de auditoria MoveBit:
Identificou 18 problemas de risco, incluindo 1 risco fatal, 2 riscos principais, 3 riscos moderados e 12 riscos leves
Todas as questões foram resolvidas
Relatório de Auditoria da OtterSec:
Encontrado 1 problema de alto risco, 1 problema de risco moderado e 7 problemas informativos.
Problemas de alto risco e risco moderado foram resolvidos, ainda existem alguns riscos informativos.
Relatório de auditoria Zellic:
Foram identificados 3 riscos informativos, principalmente relacionados à conformidade do código, que não constituem uma ameaça substancial à segurança.
Apesar de o Cetus ter passado por várias auditorias e resolvido a maioria dos problemas de alto risco, ainda assim sofreu um ataque. Este evento destaca que mesmo projetos auditados por várias instituições podem apresentar vulnerabilidades de segurança.
Limitações da auditoria de código
Auditoria não pode garantir 100% de segurança: mesmo após várias rodadas de auditoria, ainda podem existir vulnerabilidades não detectadas.
Atualizações tecnológicas rápidas: novas formas de ataque estão constantemente a surgir, e as auditorias podem não conseguir cobrir todos os riscos potenciais a tempo.
Complexidade da interação de contratos: Projetos DeFi geralmente envolvem interações complexas entre múltiplos contratos, o que aumenta a dificuldade de uma auditoria abrangente.
A qualidade da auditoria varia: o nível profissional e a profundidade da auditoria podem diferir entre diferentes instituições de auditoria.
Sugestões para aumentar a segurança do projeto
Auditoria múltipla: selecionar várias instituições de auditoria especializadas para realizar auditorias, especialmente aquelas que são especializadas em blockchains específicas (como a linguagem Move).
Auditoria contínua: realizar auditorias de segurança regularmente, acompanhando as ameaças de segurança mais recentes.
Programa de recompensas por vulnerabilidades: estabelecer recompensas elevadas para incentivar hackers éticos a descobrir e relatar vulnerabilidades potenciais.
Competição de Auditoria: Realizar uma competição de auditoria para atrair mais especialistas em segurança a participar da auditoria do projeto.
Código aberto: permite à comunidade rever o código, aumentando a transparência.
Testes de segurança: realizar testes de segurança abrangentes, incluindo ataques simulados e testes de stress.
Mecanismo de seguro: considerar a compra de seguro para os ativos dos usuários, oferecendo proteção adicional.
Conclusão
O ataque ao Cetus serve novamente como um lembrete de que, embora a auditoria de código seja importante, não é a única garantia de segurança. As equipes de projeto precisam adotar medidas de segurança abrangentes, incluindo auditorias múltiplas, avaliações de segurança contínuas, programas de recompensas por vulnerabilidades, entre outros. Ao mesmo tempo, os usuários devem permanecer vigilantes ao participar de projetos DeFi, prestando atenção às medidas de segurança do projeto e à capacidade de controle de riscos. Apenas com o comprometimento conjunto das equipes de projeto e dos usuários em relação à segurança, será possível construir um ecossistema de blockchain mais seguro e confiável.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
15 Curtidas
Recompensa
15
4
Compartilhar
Comentário
0/400
AltcoinHunter
· 6h atrás
Depois de estourar o projeto, ainda tens de arranjar alguém para levar a culpa, certo?
Ver originalResponder0
WalletWhisperer
· 08-03 17:13
padrões estatísticos nunca mentem... auditorias são apenas uma falsa sensação de segurança
Ver originalResponder0
UncleWhale
· 08-03 17:05
Sem surpresas, adquiri um grande banquete de Hacker.
Cetus atacado: a auditoria de código realmente pode garantir a segurança das Finanças Descentralizadas?
Reflexões sobre o incidente de ataque ao Cetus: o nível de proteção da segurança através de auditorias de código
Recentemente, a exchange descentralizada Cetus no ecossistema SUI foi atacada, levantando discussões na indústria sobre a eficácia das auditorias de segurança de código. Este artigo revisará a situação da auditoria de código da Cetus e explorará o impacto real das auditorias de código na segurança dos projetos.
Visão Geral da Auditoria de Código do Cetus
Cetus já foi submetido a auditorias de código por várias instituições, incluindo MoveBit, OtterSec e Zellic, profissionais especializados em auditorias de código Move. Os resultados das auditorias de cada instituição são os seguintes:
Relatório de auditoria MoveBit:
Relatório de Auditoria da OtterSec:
Relatório de auditoria Zellic:
Apesar de o Cetus ter passado por várias auditorias e resolvido a maioria dos problemas de alto risco, ainda assim sofreu um ataque. Este evento destaca que mesmo projetos auditados por várias instituições podem apresentar vulnerabilidades de segurança.
Limitações da auditoria de código
Auditoria não pode garantir 100% de segurança: mesmo após várias rodadas de auditoria, ainda podem existir vulnerabilidades não detectadas.
Atualizações tecnológicas rápidas: novas formas de ataque estão constantemente a surgir, e as auditorias podem não conseguir cobrir todos os riscos potenciais a tempo.
Complexidade da interação de contratos: Projetos DeFi geralmente envolvem interações complexas entre múltiplos contratos, o que aumenta a dificuldade de uma auditoria abrangente.
A qualidade da auditoria varia: o nível profissional e a profundidade da auditoria podem diferir entre diferentes instituições de auditoria.
Sugestões para aumentar a segurança do projeto
Auditoria múltipla: selecionar várias instituições de auditoria especializadas para realizar auditorias, especialmente aquelas que são especializadas em blockchains específicas (como a linguagem Move).
Auditoria contínua: realizar auditorias de segurança regularmente, acompanhando as ameaças de segurança mais recentes.
Programa de recompensas por vulnerabilidades: estabelecer recompensas elevadas para incentivar hackers éticos a descobrir e relatar vulnerabilidades potenciais.
Competição de Auditoria: Realizar uma competição de auditoria para atrair mais especialistas em segurança a participar da auditoria do projeto.
Código aberto: permite à comunidade rever o código, aumentando a transparência.
Testes de segurança: realizar testes de segurança abrangentes, incluindo ataques simulados e testes de stress.
Mecanismo de seguro: considerar a compra de seguro para os ativos dos usuários, oferecendo proteção adicional.
Conclusão
O ataque ao Cetus serve novamente como um lembrete de que, embora a auditoria de código seja importante, não é a única garantia de segurança. As equipes de projeto precisam adotar medidas de segurança abrangentes, incluindo auditorias múltiplas, avaliações de segurança contínuas, programas de recompensas por vulnerabilidades, entre outros. Ao mesmo tempo, os usuários devem permanecer vigilantes ao participar de projetos DeFi, prestando atenção às medidas de segurança do projeto e à capacidade de controle de riscos. Apenas com o comprometimento conjunto das equipes de projeto e dos usuários em relação à segurança, será possível construir um ecossistema de blockchain mais seguro e confiável.