Cetus遭受攻击引发代码安全审计反思

近期，Sui生态中的去中心化交易所Cetus遭受攻击，引发了业内对代码安全审计有效性的热议。目前攻击原因及影响尚不明确，但我们可以先回顾一下Cetus的代码安全审计情况。

某知名安全审计机构对Cetus的审计结果显示，仅发现2个轻度风险且已解决，9个信息性风险中6个已解决。该机构给出的综合评分为83.06分，代码审计评分高达96分。

然而，Cetus官方公布的5份代码审计报告中并未包含上述机构的审计结果。这5份报告分别来自MoveBit、OtterSec和Zellic三家专业机构，涵盖了Cetus在Aptos和Sui链上的代码。鉴于此次攻击发生在Sui链上，我们重点关注Sui链相关的审计报告。

MoveBit的审计报告于2023年4月28日上传至Github。该报告共发现18个风险问题，包括1个致命风险、2个主要风险、3个中度风险和12个轻度风险。值得注意的是，这些问题均已得到解决。

OtterSec的审计报告于2023年5月12日上传。报告指出1个高风险问题、1个中度风险问题和7个信息性风险。其中高风险和中度风险问题已解决，信息性风险中2个已解决，2个提交了修复补丁，剩余3个涉及Sui与Aptos版本代码一致性、暂停状态验证和数据类型转换等问题。

Zellic的审计报告上传时间为2023年4月。报告发现3个信息性风险，目前均未修复。这些风险主要涉及函数授权、代码冗余和NFT显示数据类型选择等方面，整体风险级别较低。

值得一提的是，MoveBit、OtterSec和Zellic都是专门从事Move语言代码审计的机构，这在当前以EVM审计为主的市场中显得尤为重要。

回顾近期一些新兴DEX项目的安全措施，我们可以发现一些趋势：

1. GMX V2由5家公司进行代码审计，并推出了高达500万美元的漏洞赏金计划。

2. DeGate聘请了35家公司进行审计，漏洞赏金最高可达111万美元。

3. DYDX V4由Informal Systems审计，同样设立了500万美元的漏洞赏金计划。

4. Hyperliquid在自行审计的基础上，提供了100万美元的漏洞赏金。

5. UniversalX则选择了两家知名机构进行审计。

6. GMGN虽未公布审计报告，但设立了单项最高1万美元的漏洞赏金计划。

综上所述，即使像Cetus这样经过多家机构审计的项目也可能遭受攻击。多方审计配合漏洞赏金计划或审计竞赛，能在一定程度上提高项目安全性。然而，对于新兴DeFi协议而言，未修复的审计问题仍然值得关注。这也解释了为什么业内专家格外重视新协议的代码审计情况。