Reflexiones sobre la auditoría de seguridad tras el ataque a Cetus
Recientemente, el intercambio descentralizado Cetus en el ecosistema SUI fue atacado, lo que ha reavivado la atención de la industria sobre la importancia de la auditoría de seguridad del código. Aunque las causas y los efectos específicos del ataque aún no están claros, podemos comenzar a explorar este problema a partir de la historia de auditoría de seguridad del código de Cetus.
Cetus ha sido auditado por varias instituciones. Un conocido organismo de auditoría mostró que solo se encontraron 2 riesgos leves y 9 riesgos informativos en los resultados de la auditoría de Cetus, la mayoría de los cuales ya se han resuelto. La puntuación general dada por este organismo fue de 83.06, y la puntuación de la auditoría de código alcanzó los 96 puntos.
Sin embargo, los 5 informes de auditoría publicados por Cetus en su Github oficial no incluyen los resultados de auditoría de las instituciones mencionadas anteriormente. Estos 5 informes provienen de MoveBit, OtterSec y Zellic, y se realizaron auditorías del código de Cetus en las cadenas Aptos y SUI. Dado que este ataque ocurrió en la cadena SUI, nos centramos en los informes de auditoría relacionados con la cadena SUI.
El informe de auditoría de MoveBit señala 18 problemas de riesgo, incluyendo 1 riesgo crítico, 2 riesgos importantes, 3 riesgos moderados y 12 riesgos leves. Según el informe, estos problemas ya han sido resueltos.
El informe de auditoría de OtterSec encontró 1 problema de alto riesgo, 1 problema de riesgo moderado y 7 riesgos informativos. Los problemas de alto y moderado riesgo han sido resueltos, de los riesgos informativos, 2 han sido resueltos, 2 han presentado parches de reparación y 3 siguen sin resolverse. Estos problemas no resueltos involucran aspectos como la consistencia del código, la validación del estado de pausa y la conversión de tipos de datos.
El informe de auditoría de Zellic encontró 3 riesgos informativos, principalmente relacionados con la autorización de funciones, la redundancia del código y la selección de tipos de datos, con un riesgo general bajo.
Es importante señalar que las tres agencias de auditoría, MoveBit, OtterSec y Zellic, tienen ventajas profesionales en la auditoría del código del lenguaje Move, lo cual es especialmente importante para la auditoría de seguridad de proyectos que no son de la cadena EVM.
Al comparar las medidas de seguridad de algunos nuevos proyectos DEX, podemos identificar una tendencia: la auditoría múltiple combinada con programas de recompensas por vulnerabilidades se está convirtiendo en una práctica común. Por ejemplo, un proyecto DEX contrató a 5 empresas para realizar la auditoría del código y lanzó un programa de recompensas por vulnerabilidades de hasta 5 millones de dólares. Otro proyecto fue auditado por 3 empresas reconocidas y estableció un programa de recompensas por vulnerabilidades de 1.11 millones de dólares.
Estos casos demuestran que incluso proyectos auditados por varias instituciones como Cetus pueden ser objeto de ataques. Por lo tanto, la adopción de auditorías de múltiples partes, complementadas con programas de recompensas por vulnerabilidades o competiciones de auditoría, puede garantizar relativamente mejor la seguridad del proyecto. Sin embargo, para los protocolos DeFi emergentes, incluso si los problemas detectados durante el proceso de auditoría no se han resuelto por completo, aún pueden decidir lanzarse por diversas razones. Esta es también la razón por la que los inversores deben prestar especial atención a la situación de auditoría del código de los nuevos proyectos.
En general, la auditoría de código es una garantía importante de la seguridad del proyecto, pero no es infalible. El equipo del proyecto debe prestar atención continua a los problemas de seguridad, y los inversores también deben mantenerse alerta sobre las medidas de seguridad del proyecto. En el rápidamente cambiante campo de las criptomonedas, la seguridad siempre es un tema que merece atención.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
21 me gusta
Recompensa
21
8
Republicar
Compartir
Comentar
0/400
GasWastingMaximalist
· hace14h
¿La auditoría tiene un puntaje tan alto y aún tiene fallos? Ni siquiera un perro lo creería.
Ver originalesResponder0
CryptoMotivator
· 08-08 05:49
¡El informe de auditoría puede ser útil!
Ver originalesResponder0
Rekt_Recovery
· 08-06 07:48
ngmi familia... múltiples auditorías aún así fueron rekt
Ver originalesResponder0
BTCBeliefStation
· 08-06 07:46
¿Revisaste por nada?
Ver originalesResponder0
ForkMonger
· 08-06 07:46
otro día, otro hack... las puntuaciones de auditoría no significan nada frfr
Ver originalesResponder0
AirdropHunter
· 08-06 07:34
Revisar tanto y aún así ocurren problemas.
Ver originalesResponder0
MerkleDreamer
· 08-06 07:25
Resultado de auditoría de 96 puntos, me muero de risa💀
Ver originalesResponder0
NftDataDetective
· 08-06 07:19
las auditorías no significan nada en estos días fr fr
Cetus fue atacado, múltiples auditorías y recompensas por fallos se convierten en una nueva tendencia de seguridad en DEX.
Reflexiones sobre la auditoría de seguridad tras el ataque a Cetus
Recientemente, el intercambio descentralizado Cetus en el ecosistema SUI fue atacado, lo que ha reavivado la atención de la industria sobre la importancia de la auditoría de seguridad del código. Aunque las causas y los efectos específicos del ataque aún no están claros, podemos comenzar a explorar este problema a partir de la historia de auditoría de seguridad del código de Cetus.
Cetus ha sido auditado por varias instituciones. Un conocido organismo de auditoría mostró que solo se encontraron 2 riesgos leves y 9 riesgos informativos en los resultados de la auditoría de Cetus, la mayoría de los cuales ya se han resuelto. La puntuación general dada por este organismo fue de 83.06, y la puntuación de la auditoría de código alcanzó los 96 puntos.
Sin embargo, los 5 informes de auditoría publicados por Cetus en su Github oficial no incluyen los resultados de auditoría de las instituciones mencionadas anteriormente. Estos 5 informes provienen de MoveBit, OtterSec y Zellic, y se realizaron auditorías del código de Cetus en las cadenas Aptos y SUI. Dado que este ataque ocurrió en la cadena SUI, nos centramos en los informes de auditoría relacionados con la cadena SUI.
El informe de auditoría de MoveBit señala 18 problemas de riesgo, incluyendo 1 riesgo crítico, 2 riesgos importantes, 3 riesgos moderados y 12 riesgos leves. Según el informe, estos problemas ya han sido resueltos.
El informe de auditoría de OtterSec encontró 1 problema de alto riesgo, 1 problema de riesgo moderado y 7 riesgos informativos. Los problemas de alto y moderado riesgo han sido resueltos, de los riesgos informativos, 2 han sido resueltos, 2 han presentado parches de reparación y 3 siguen sin resolverse. Estos problemas no resueltos involucran aspectos como la consistencia del código, la validación del estado de pausa y la conversión de tipos de datos.
El informe de auditoría de Zellic encontró 3 riesgos informativos, principalmente relacionados con la autorización de funciones, la redundancia del código y la selección de tipos de datos, con un riesgo general bajo.
Es importante señalar que las tres agencias de auditoría, MoveBit, OtterSec y Zellic, tienen ventajas profesionales en la auditoría del código del lenguaje Move, lo cual es especialmente importante para la auditoría de seguridad de proyectos que no son de la cadena EVM.
Al comparar las medidas de seguridad de algunos nuevos proyectos DEX, podemos identificar una tendencia: la auditoría múltiple combinada con programas de recompensas por vulnerabilidades se está convirtiendo en una práctica común. Por ejemplo, un proyecto DEX contrató a 5 empresas para realizar la auditoría del código y lanzó un programa de recompensas por vulnerabilidades de hasta 5 millones de dólares. Otro proyecto fue auditado por 3 empresas reconocidas y estableció un programa de recompensas por vulnerabilidades de 1.11 millones de dólares.
Estos casos demuestran que incluso proyectos auditados por varias instituciones como Cetus pueden ser objeto de ataques. Por lo tanto, la adopción de auditorías de múltiples partes, complementadas con programas de recompensas por vulnerabilidades o competiciones de auditoría, puede garantizar relativamente mejor la seguridad del proyecto. Sin embargo, para los protocolos DeFi emergentes, incluso si los problemas detectados durante el proceso de auditoría no se han resuelto por completo, aún pueden decidir lanzarse por diversas razones. Esta es también la razón por la que los inversores deben prestar especial atención a la situación de auditoría del código de los nuevos proyectos.
En general, la auditoría de código es una garantía importante de la seguridad del proyecto, pero no es infalible. El equipo del proyecto debe prestar atención continua a los problemas de seguridad, y los inversores también deben mantenerse alerta sobre las medidas de seguridad del proyecto. En el rápidamente cambiante campo de las criptomonedas, la seguridad siempre es un tema que merece atención.