Cetus遭受攻擊事件引發的安全審計思考

近期，SUI生態中的去中心化交易所Cetus遭受攻擊，引發了業界對代碼安全審計重要性的再次關注。雖然目前攻擊的具體原因和影響尚不明確，但我們可以從Cetus的代碼安全審計歷史入手，探討一下這個問題。

Cetus曾接受過多家機構的代碼審計。某知名審計機構對Cetus的審計結果顯示，只發現2個輕度風險和9個信息性風險，大部分已得到解決。該機構給出的綜合評分爲83.06，代碼審計評分高達96分。

然而，Cetus在其官方Github上公布的5份審計報告中並未包含上述機構的審計結果。這5份報告來自MoveBit、OtterSec和Zellic，分別針對Cetus在Aptos和SUI鏈上的代碼進行了審計。由於此次攻擊發生在SUI鏈上，我們重點關注SUI鏈相關的審計報告。

MoveBit的審計報告指出了18個風險問題，包括1個致命風險、2個主要風險、3個中度風險和12個輕度風險。據報告顯示，這些問題均已得到解決。

OtterSec的審計報告發現了1個高風險問題、1個中度風險問題和7個信息性風險。高風險和中度風險問題已解決，信息性風險中有2個已解決，2個提交了修復補丁，還有3個未解決。這些未解決的問題涉及代碼一致性、暫停狀態驗證和數據類型轉換等方面。

Zellic的審計報告發現了3個信息性風險，主要涉及函數授權、代碼冗餘和數據類型選擇等方面，總體風險較低。

值得注意的是，MoveBit、OtterSec和Zellic這三家審計機構在Move語言代碼審計方面具有專業優勢，這對於非EVM鏈項目的安全審計尤爲重要。

通過對比一些新興DEX項目的安全措施，我們可以發現一個趨勢：多重審計配合漏洞賞金計劃正成爲主流做法。例如，某DEX項目就聘請了5家公司進行代碼審計，並推出了高達500萬美元的單項漏洞賞金計劃。另一個項目則由3家知名公司進行審計，同時設立了111萬美元的漏洞賞金計劃。

這些案例表明，即使像Cetus這樣經過多家機構審計的項目也可能遭受攻擊。因此，採用多主體審計，並輔以漏洞賞金計劃或審計競賽，能夠相對更好地保障項目安全。然而，對於新興的DeFi協議來說，即使在審計過程中發現的問題尚未全部修復，也可能因各種原因選擇上線。這也是爲什麼投資者需要特別關注新項目的代碼審計情況。

總的來說，代碼審計是項目安全的重要保障，但並非萬無一失。項目方需要持續關注安全問題，投資者也應該對項目的安全措施保持警惕。在快速發展的加密貨幣領域，安全永遠是一個值得關注的話題。