Размышления о нападении на Cetus: уровень безопасности, обеспечиваемый аудитом кода
Недавно децентрализованная биржа Cetus в экосистеме SUI подверглась атаке, что вызвало обсуждение эффективности аудита кода в отрасли. В этой статье будет рассмотрена ситуация с аудитом кода Cetus и обсуждено фактическое влияние аудита кода на безопасность проекта.
Обзор аудита кода Cetus
Cetus прошёл кодовый аудит несколькими учреждениями, включая MoveBit, OtterSec и Zellic, специализированные организации по аудиту кода на языке Move. Результаты аудита от различных учреждений следующие:
Отчет об аудите MoveBit:
Обнаружено 18 рисковых проблем, включая 1 смертельный риск, 2 основных риска, 3 средних риска и 12 незначительных рисков.
Все проблемы решены
Отчет аудита OtterSec:
Обнаружено 1 высокорисковая проблема, 1 проблема средней степени риска и 7 информационных рисков
Высокие и средние риски были устранены, однако некоторые информационные риски все еще существуют
Отчет об аудите Zellic:
Обнаружено 3 информационных риска, в основном касающихся нормативов кодирования, которые не представляют собой существенной угрозы безопасности.
Несмотря на то, что Cetus прошел несколько раундов аудита и устранил большинство высоких рисков, он все же стал жертвой атаки. Этот инцидент подчеркивает, что даже проекты, прошедшие аудит в нескольких учреждениях, могут иметь проблемы с безопасностью.
Ограничения аудита кода
Аудит не может гарантировать 100% безопасность: даже после нескольких раундов аудита могут оставаться невыявленные уязвимости.
Быстрые обновления технологий: новые методы атак постоянно появляются, и аудит может не успевать покрывать все потенциальные риски.
Сложность взаимодействия контрактов: Проекты DeFi обычно включают сложное взаимодействие между несколькими контрактами, что увеличивает трудности в проведении комплексного аудита.
Качество аудита варьируется: профессиональный уровень и глубина аудита могут различаться в зависимости от разных аудиторских организаций.
Рекомендации по повышению безопасности проекта
Многоуровневый аудит: выбор нескольких профессиональных аудиторских компаний для проведения аудита, особенно специализированных учреждений для определенных публичных блокчейнов (например, языка Move).
Непрерывный аудит: регулярное проведение аудита безопасности, отслеживание последних угроз безопасности.
Программа вознаграждений за уязвимости: установление высоких вознаграждений для поощрения «белых» хакеров на обнаружение и сообщение о потенциальных уязвимостях.
Конкурс аудита: проведение конкурса аудита для привлечения большего количества экспертов по безопасности к проектному аудиту.
Открытый код: позволяет сообществу проверять код, увеличивая прозрачность.
Безопасное тестирование: проведите всестороннее безопасное тестирование, включая имитацию атак и нагрузочное тестирование.
Страховой механизм: рассмотреть возможность покупки страховки для активов пользователей, предоставляя дополнительную защиту.
Заключение
Инцидент с атакой на Cetus вновь напоминает нам о том, что хотя аудит кода важен, он не является единственной гарантией безопасности. Команды проектов должны принимать комплексные меры безопасности, включая многократные аудиты, постоянную оценку безопасности, программы поощрения за нахождение уязвимостей и т.д. В то же время пользователи, участвующие в DeFi проектах, также должны быть бдительными и обращать внимание на меры безопасности проекта и его способности к управлению рисками. Только совместные усилия команд проектов и пользователей в вопросах безопасности могут способствовать созданию более безопасной и надежной экосистемы блокчейна.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
19 Лайков
Награда
19
6
Поделиться
комментарий
0/400
BearMarketMonk
· 13ч назад
Никто не сможет спасти от недостатков в высоком уровне проектирования.
Посмотреть ОригиналОтветить0
DefiPlaybook
· 13ч назад
Согласно статистике в блокчейне, у таких аудиторских проектов все еще есть 23,7% уровень неудач.
Посмотреть ОригиналОтветить0
AltcoinHunter
· 08-05 15:08
После завершения проекта, получается, нужно найти кого-то, кто за это понесет ответственность?
Посмотреть ОригиналОтветить0
WalletWhisperer
· 08-03 17:13
статистические паттерны никогда не врут... аудит - это просто ложное чувство безопасности
Cetus подвергся атаке: может ли аудит кода действительно гарантировать безопасность Децентрализованных финансов?
Размышления о нападении на Cetus: уровень безопасности, обеспечиваемый аудитом кода
Недавно децентрализованная биржа Cetus в экосистеме SUI подверглась атаке, что вызвало обсуждение эффективности аудита кода в отрасли. В этой статье будет рассмотрена ситуация с аудитом кода Cetus и обсуждено фактическое влияние аудита кода на безопасность проекта.
Обзор аудита кода Cetus
Cetus прошёл кодовый аудит несколькими учреждениями, включая MoveBit, OtterSec и Zellic, специализированные организации по аудиту кода на языке Move. Результаты аудита от различных учреждений следующие:
Отчет об аудите MoveBit:
Отчет аудита OtterSec:
Отчет об аудите Zellic:
Несмотря на то, что Cetus прошел несколько раундов аудита и устранил большинство высоких рисков, он все же стал жертвой атаки. Этот инцидент подчеркивает, что даже проекты, прошедшие аудит в нескольких учреждениях, могут иметь проблемы с безопасностью.
Ограничения аудита кода
Аудит не может гарантировать 100% безопасность: даже после нескольких раундов аудита могут оставаться невыявленные уязвимости.
Быстрые обновления технологий: новые методы атак постоянно появляются, и аудит может не успевать покрывать все потенциальные риски.
Сложность взаимодействия контрактов: Проекты DeFi обычно включают сложное взаимодействие между несколькими контрактами, что увеличивает трудности в проведении комплексного аудита.
Качество аудита варьируется: профессиональный уровень и глубина аудита могут различаться в зависимости от разных аудиторских организаций.
Рекомендации по повышению безопасности проекта
Многоуровневый аудит: выбор нескольких профессиональных аудиторских компаний для проведения аудита, особенно специализированных учреждений для определенных публичных блокчейнов (например, языка Move).
Непрерывный аудит: регулярное проведение аудита безопасности, отслеживание последних угроз безопасности.
Программа вознаграждений за уязвимости: установление высоких вознаграждений для поощрения «белых» хакеров на обнаружение и сообщение о потенциальных уязвимостях.
Конкурс аудита: проведение конкурса аудита для привлечения большего количества экспертов по безопасности к проектному аудиту.
Открытый код: позволяет сообществу проверять код, увеличивая прозрачность.
Безопасное тестирование: проведите всестороннее безопасное тестирование, включая имитацию атак и нагрузочное тестирование.
Страховой механизм: рассмотреть возможность покупки страховки для активов пользователей, предоставляя дополнительную защиту.
Заключение
Инцидент с атакой на Cetus вновь напоминает нам о том, что хотя аудит кода важен, он не является единственной гарантией безопасности. Команды проектов должны принимать комплексные меры безопасности, включая многократные аудиты, постоянную оценку безопасности, программы поощрения за нахождение уязвимостей и т.д. В то же время пользователи, участвующие в DeFi проектах, также должны быть бдительными и обращать внимание на меры безопасности проекта и его способности к управлению рисками. Только совместные усилия команд проектов и пользователей в вопросах безопасности могут способствовать созданию более безопасной и надежной экосистемы блокчейна.