Cetus遭受攻擊事件引發的反思：代碼審計對安全性的保障程度

近期，SUI生態中的去中心化交易所Cetus遭遇攻擊，引發了業內對代碼安全審計有效性的討論。本文將對Cetus的代碼審計情況進行回顧，並探討代碼審計對項目安全性的實際影響。

Cetus的代碼審計概況

Cetus曾接受多家機構的代碼審計，包括MoveBit、OtterSec和Zellic等專業的Move語言代碼審計機構。各家機構的審計結果如下：

1. MoveBit審計報告：

   • 發現18個風險問題，包括1個致命風險、2個主要風險、3個中度風險和12個輕度風險
   • 所有問題均已解決

2. OtterSec審計報告：

   • 發現1個高風險問題、1個中度風險問題和7個信息性風險
   • 高風險和中度風險問題已解決，部分信息性風險仍存在

3. Zellic審計報告：

   • 發現3個信息性風險，主要涉及代碼規範性，未對安全構成實質威脅

盡管Cetus經過多輪審計，並解決了大部分高風險問題，但仍然遭受了攻擊。這一事件凸顯了即使經過多家機構審計的項目也可能存在安全隱患。

代碼審計的局限性

1. 審計無法保證100%安全：即使經過多輪審計，仍可能存在未被發現的漏洞。

2. 技術更新迭代快：新的攻擊方式不斷出現，審計可能無法及時覆蓋所有潛在風險。

3. 合約交互復雜性：DeFi項目通常涉及多個合約之間的復雜交互，增加了全面審計的難度。

4. 審計質量參差不齊：不同審計機構的專業水平和審計深度可能存在差異。

提高項目安全性的建議

1. 多重審計：選擇多家專業審計機構進行審計，特別是針對特定公鏈（如Move語言）的專業機構。

2. 持續性審計：定期進行安全審計，跟進最新的安全威脅。

3. 漏洞賞金計劃：設立高額賞金，鼓勵白帽黑客發現並報告潛在漏洞。

4. 審計競賽：舉辦審計競賽，吸引更多安全專家參與項目審計。

5. 代碼開源：允許社區審查代碼，增加透明度。

6. 安全測試：進行全面的安全測試，包括模擬攻擊和壓力測試。

7. 保險機制：考慮爲用戶資產購買保險，提供額外保障。

結語

Cetus遭受攻擊事件再次提醒我們，代碼審計雖然重要，但並非安全的唯一保障。項目方需要採取全方位的安全措施，包括多重審計、持續性安全評估、漏洞賞金計劃等。同時，用戶在參與DeFi項目時也應保持警惕，關注項目的安全措施和風險控制能力。只有項目方和用戶共同重視安全，才能構建一個更加安全、可靠的區塊鏈生態系統。