Réflexions sur l'audit de sécurité déclenchées par l'incident d'attaque de Cetus
Récemment, l'échange décentralisé Cetus dans l'écosystème SUI a été attaqué, suscitant à nouveau l'attention de l'industrie sur l'importance de l'audit de sécurité du code. Bien que les raisons et les impacts spécifiques de l'attaque ne soient pas encore clairs, nous pouvons aborder ce problème en examinant l'historique des audits de sécurité du code de Cetus.
Cetus a été soumis à des audits de code par plusieurs institutions. Un cabinet d'audit renommé a révélé dans son rapport sur Cetus qu'il n'avait trouvé que 2 risques mineurs et 9 risques informatifs, la plupart ayant été résolus. La note globale donnée par ce cabinet est de 83,06, avec un score d'audit de code atteignant 96.
Cependant, les cinq rapports d'audit publiés par Cetus sur son Github officiel ne contiennent pas les résultats d'audit des organismes mentionnés ci-dessus. Ces cinq rapports proviennent de MoveBit, OtterSec et Zellic, et portent respectivement sur l'audit du code de Cetus sur les chaînes Aptos et SUI. Étant donné que cette attaque s'est produite sur la chaîne SUI, nous nous concentrons sur les rapports d'audit liés à la chaîne SUI.
Le rapport d'audit de MoveBit a identifié 18 problèmes de risque, dont 1 risque fatal, 2 risques majeurs, 3 risques modérés et 12 risques légers. Selon le rapport, ces problèmes ont tous été résolus.
Le rapport d'audit d'OtterSec a révélé un problème à haut risque, un problème à risque modéré et sept risques d'information. Les problèmes à haut risque et à risque modéré ont été résolus, parmi les risques d'information, deux ont été résolus, deux ont reçu des correctifs et trois restent non résolus. Ces problèmes non résolus concernent la cohérence du code, la validation de l'état de pause et la conversion des types de données.
Le rapport d'audit de Zellic a révélé 3 risques informationnels, principalement liés à l'autorisation des fonctions, à la redondance du code et au choix des types de données, avec un risque global relativement faible.
Il convient de noter que les trois agences d'audit MoveBit, OtterSec et Zellic ont un avantage professionnel dans l'audit de code en langage Move, ce qui est particulièrement important pour l'audit de sécurité des projets non EVM.
En comparant les mesures de sécurité de certains nouveaux projets DEX, nous pouvons identifier une tendance : l'audit multiple combiné à un programme de récompense pour les bugs devient une pratique courante. Par exemple, un projet DEX a engagé 5 entreprises pour effectuer un audit de code et a lancé un programme de récompense pour les bugs allant jusqu'à 5 millions de dollars. Un autre projet a été audité par 3 entreprises renommées, tout en mettant en place un programme de récompense pour les bugs de 1,11 million de dollars.
Ces cas montrent que même des projets comme Cetus, audités par plusieurs organismes, peuvent subir des attaques. Par conséquent, l'adoption d'audits multi-entités, accompagnée de programmes de primes pour les bugs ou de concours d'audit, peut relativement mieux garantir la sécurité des projets. Cependant, pour les protocoles DeFi émergents, même si tous les problèmes découverts lors du processus d'audit n'ont pas encore été corrigés, ils peuvent choisir de se lancer en ligne pour diverses raisons. C'est pourquoi les investisseurs doivent porter une attention particulière à la situation des audits de code des nouveaux projets.
Dans l'ensemble, l'audit de code est une garantie importante de la sécurité des projets, mais il n'est pas infaillible. Les équipes de projet doivent continuer à prêter attention aux problèmes de sécurité, et les investisseurs doivent également rester vigilants quant aux mesures de sécurité du projet. Dans le domaine des cryptomonnaies en rapide développement, la sécurité est toujours un sujet qui mérite d'être surveillé.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
21 J'aime
Récompense
21
8
Reposter
Partager
Commentaire
0/400
GasWastingMaximalist
· Il y a 14h
Un audit avec une note si élevée a encore des failles ? Même un chien n'y croirait pas.
Voir l'originalRépondre0
CryptoMotivator
· 08-08 05:49
Le rapport d'audit peut être utile !
Voir l'originalRépondre0
Rekt_Recovery
· 08-06 07:48
ngmi fam... plusieurs audits et pourtant on s'est fait rekt
Voir l'originalRépondre0
BTCBeliefStation
· 08-06 07:46
Révisé pour rien?
Voir l'originalRépondre0
ForkMonger
· 08-06 07:46
un autre jour, un autre piratage... les scores d'audit ne signifient rien frfr
Voir l'originalRépondre0
AirdropHunter
· 08-06 07:34
Après avoir examiné autant de choses, il y a quand même des problèmes.
Cetus attaqué, audits multiples et bug bounty deviennent une nouvelle tendance de sécurité pour les DEX.
Réflexions sur l'audit de sécurité déclenchées par l'incident d'attaque de Cetus
Récemment, l'échange décentralisé Cetus dans l'écosystème SUI a été attaqué, suscitant à nouveau l'attention de l'industrie sur l'importance de l'audit de sécurité du code. Bien que les raisons et les impacts spécifiques de l'attaque ne soient pas encore clairs, nous pouvons aborder ce problème en examinant l'historique des audits de sécurité du code de Cetus.
Cetus a été soumis à des audits de code par plusieurs institutions. Un cabinet d'audit renommé a révélé dans son rapport sur Cetus qu'il n'avait trouvé que 2 risques mineurs et 9 risques informatifs, la plupart ayant été résolus. La note globale donnée par ce cabinet est de 83,06, avec un score d'audit de code atteignant 96.
Cependant, les cinq rapports d'audit publiés par Cetus sur son Github officiel ne contiennent pas les résultats d'audit des organismes mentionnés ci-dessus. Ces cinq rapports proviennent de MoveBit, OtterSec et Zellic, et portent respectivement sur l'audit du code de Cetus sur les chaînes Aptos et SUI. Étant donné que cette attaque s'est produite sur la chaîne SUI, nous nous concentrons sur les rapports d'audit liés à la chaîne SUI.
Le rapport d'audit de MoveBit a identifié 18 problèmes de risque, dont 1 risque fatal, 2 risques majeurs, 3 risques modérés et 12 risques légers. Selon le rapport, ces problèmes ont tous été résolus.
Le rapport d'audit d'OtterSec a révélé un problème à haut risque, un problème à risque modéré et sept risques d'information. Les problèmes à haut risque et à risque modéré ont été résolus, parmi les risques d'information, deux ont été résolus, deux ont reçu des correctifs et trois restent non résolus. Ces problèmes non résolus concernent la cohérence du code, la validation de l'état de pause et la conversion des types de données.
Le rapport d'audit de Zellic a révélé 3 risques informationnels, principalement liés à l'autorisation des fonctions, à la redondance du code et au choix des types de données, avec un risque global relativement faible.
Il convient de noter que les trois agences d'audit MoveBit, OtterSec et Zellic ont un avantage professionnel dans l'audit de code en langage Move, ce qui est particulièrement important pour l'audit de sécurité des projets non EVM.
En comparant les mesures de sécurité de certains nouveaux projets DEX, nous pouvons identifier une tendance : l'audit multiple combiné à un programme de récompense pour les bugs devient une pratique courante. Par exemple, un projet DEX a engagé 5 entreprises pour effectuer un audit de code et a lancé un programme de récompense pour les bugs allant jusqu'à 5 millions de dollars. Un autre projet a été audité par 3 entreprises renommées, tout en mettant en place un programme de récompense pour les bugs de 1,11 million de dollars.
Ces cas montrent que même des projets comme Cetus, audités par plusieurs organismes, peuvent subir des attaques. Par conséquent, l'adoption d'audits multi-entités, accompagnée de programmes de primes pour les bugs ou de concours d'audit, peut relativement mieux garantir la sécurité des projets. Cependant, pour les protocoles DeFi émergents, même si tous les problèmes découverts lors du processus d'audit n'ont pas encore été corrigés, ils peuvent choisir de se lancer en ligne pour diverses raisons. C'est pourquoi les investisseurs doivent porter une attention particulière à la situation des audits de code des nouveaux projets.
Dans l'ensemble, l'audit de code est une garantie importante de la sécurité des projets, mais il n'est pas infaillible. Les équipes de projet doivent continuer à prêter attention aux problèmes de sécurité, et les investisseurs doivent également rester vigilants quant aux mesures de sécurité du projet. Dans le domaine des cryptomonnaies en rapide développement, la sécurité est toujours un sujet qui mérite d'être surveillé.