Cetus bị tấn công dẫn đến suy ngẫm về kiểm toán an ninh mã nguồn
Gần đây, sàn giao dịch phi tập trung Cetus trong hệ sinh thái Sui đã bị tấn công, gây ra cuộc tranh luận sôi nổi trong ngành về hiệu quả của việc kiểm toán an ninh mã. Hiện tại, nguyên nhân và ảnh hưởng của cuộc tấn công vẫn chưa rõ ràng, nhưng chúng ta có thể xem xét lại tình hình kiểm toán an ninh mã của Cetus.
Một tổ chức kiểm toán an ninh nổi tiếng đã công bố kết quả kiểm toán của Cetus cho thấy chỉ phát hiện 2 rủi ro nhẹ và đã được giải quyết, trong 9 rủi ro thông tin thì 6 rủi ro đã được giải quyết. Tổ chức này đưa ra điểm số tổng hợp là 83,06 điểm, điểm số kiểm toán mã cao tới 96 điểm.
Tuy nhiên, trong 5 báo cáo kiểm toán mã mà Cetus chính thức công bố, không có kết quả kiểm toán của các tổ chức nêu trên. 5 báo cáo này lần lượt đến từ ba tổ chức chuyên nghiệp là MoveBit, OtterSec và Zellic, bao gồm mã của Cetus trên các chuỗi Aptos và Sui. Với việc cuộc tấn công này xảy ra trên chuỗi Sui, chúng tôi sẽ tập trung vào báo cáo kiểm toán liên quan đến chuỗi Sui.
Báo cáo kiểm toán của MoveBit được tải lên Github vào ngày 28 tháng 4 năm 2023. Báo cáo đã phát hiện tổng cộng 18 vấn đề rủi ro, bao gồm 1 rủi ro nghiêm trọng, 2 rủi ro chính, 3 rủi ro vừa và 12 rủi ro nhẹ. Đáng chú ý, tất cả những vấn đề này đã được giải quyết.
Báo cáo kiểm toán của OtterSec đã được tải lên vào ngày 12 tháng 5 năm 2023. Báo cáo chỉ ra 1 vấn đề rủi ro cao, 1 vấn đề rủi ro trung bình và 7 vấn đề rủi ro thông tin. Trong đó, vấn đề rủi ro cao và trung bình đã được giải quyết, 2 trong số 7 vấn đề rủi ro thông tin đã được giải quyết, 2 vấn đề đã được gửi bản vá, 3 vấn đề còn lại liên quan đến tính nhất quán mã phiên bản Sui và Aptos, xác thực trạng thái tạm dừng và chuyển đổi kiểu dữ liệu.
Báo cáo kiểm toán của Zellic được tải lên vào tháng 4 năm 2023. Báo cáo phát hiện 3 rủi ro thông tin, hiện tại chưa được khắc phục. Những rủi ro này chủ yếu liên quan đến quyền hạn chức năng, sự dư thừa mã và lựa chọn loại dữ liệu hiển thị NFT, mức độ rủi ro tổng thể tương đối thấp.
Cần lưu ý rằng, MoveBit, OtterSec và Zellic đều là các tổ chức chuyên thực hiện kiểm toán mã Move, điều này trở nên đặc biệt quan trọng trong thị trường hiện tại chủ yếu là kiểm toán EVM.
Nhìn lại các biện pháp an ninh của một số dự án DEX mới nổi gần đây, chúng ta có thể nhận thấy một số xu hướng:
GMX V2 được 5 công ty thực hiện kiểm toán mã và đã triển khai chương trình thưởng lỗi lên đến 5 triệu đô la.
DeGate đã thuê 35 công ty để thực hiện kiểm toán, tiền thưởng cho lỗ hổng có thể lên đến 1.11 triệu USD.
DYDX V4 được Informal Systems kiểm toán, cũng đã thiết lập chương trình thưởng lỗ hổng trị giá 5 triệu đô la.
Hyperliquid đã cung cấp phần thưởng lỗi 1 triệu đô la trên cơ sở tự kiểm toán.
UniversalX đã chọn hai cơ quan nổi tiếng để thực hiện kiểm toán.
GMGN mặc dù chưa công bố báo cáo kiểm toán, nhưng đã thiết lập chương trình thưởng lỗi lên đến 10,000 USD cho từng lỗi.
Tóm lại, ngay cả những dự án như Cetus đã được nhiều tổ chức kiểm toán vẫn có thể bị tấn công. Việc kiểm toán đa bên kết hợp với chương trình thưởng cho lỗi hoặc cuộc thi kiểm toán có thể nâng cao mức độ an toàn của dự án ở mức độ nhất định. Tuy nhiên, đối với các giao thức DeFi mới nổi, những vấn đề kiểm toán chưa được sửa chữa vẫn đáng được chú ý. Điều này cũng giải thích tại sao các chuyên gia trong ngành đặc biệt chú trọng đến tình trạng kiểm toán mã của các giao thức mới.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
17 thích
Phần thưởng
17
8
Đăng lại
Chia sẻ
Bình luận
0/400
SchrodingersFOMO
· 11giờ trước
Kiểm toán phân cao như vậy bị tấn công cũng không sợ.
Xem bản gốcTrả lời0
OffchainWinner
· 13giờ trước
Sáu lỗ hổng đã được sửa nhưng vẫn bị tấn công?
Xem bản gốcTrả lời0
MetaverseLandlord
· 13giờ trước
Mã kiểm toán có tác dụng gì...
Xem bản gốcTrả lời0
ZeroRushCaptain
· 13giờ trước
Kiểm toán chính là nộp thuế thông minh.
Xem bản gốcTrả lời0
YieldHunter
· 13giờ trước
nói một cách kỹ thuật... điểm kiểm toán không có nghĩa gì nếu bạn không thể đảm bảo lợi suất smh
Cetus bị tấn công, nhiều cuộc kiểm tra mã nguồn không thể đảm bảo an toàn cho dự án
Cetus bị tấn công dẫn đến suy ngẫm về kiểm toán an ninh mã nguồn
Gần đây, sàn giao dịch phi tập trung Cetus trong hệ sinh thái Sui đã bị tấn công, gây ra cuộc tranh luận sôi nổi trong ngành về hiệu quả của việc kiểm toán an ninh mã. Hiện tại, nguyên nhân và ảnh hưởng của cuộc tấn công vẫn chưa rõ ràng, nhưng chúng ta có thể xem xét lại tình hình kiểm toán an ninh mã của Cetus.
Một tổ chức kiểm toán an ninh nổi tiếng đã công bố kết quả kiểm toán của Cetus cho thấy chỉ phát hiện 2 rủi ro nhẹ và đã được giải quyết, trong 9 rủi ro thông tin thì 6 rủi ro đã được giải quyết. Tổ chức này đưa ra điểm số tổng hợp là 83,06 điểm, điểm số kiểm toán mã cao tới 96 điểm.
Tuy nhiên, trong 5 báo cáo kiểm toán mã mà Cetus chính thức công bố, không có kết quả kiểm toán của các tổ chức nêu trên. 5 báo cáo này lần lượt đến từ ba tổ chức chuyên nghiệp là MoveBit, OtterSec và Zellic, bao gồm mã của Cetus trên các chuỗi Aptos và Sui. Với việc cuộc tấn công này xảy ra trên chuỗi Sui, chúng tôi sẽ tập trung vào báo cáo kiểm toán liên quan đến chuỗi Sui.
Báo cáo kiểm toán của MoveBit được tải lên Github vào ngày 28 tháng 4 năm 2023. Báo cáo đã phát hiện tổng cộng 18 vấn đề rủi ro, bao gồm 1 rủi ro nghiêm trọng, 2 rủi ro chính, 3 rủi ro vừa và 12 rủi ro nhẹ. Đáng chú ý, tất cả những vấn đề này đã được giải quyết.
Báo cáo kiểm toán của OtterSec đã được tải lên vào ngày 12 tháng 5 năm 2023. Báo cáo chỉ ra 1 vấn đề rủi ro cao, 1 vấn đề rủi ro trung bình và 7 vấn đề rủi ro thông tin. Trong đó, vấn đề rủi ro cao và trung bình đã được giải quyết, 2 trong số 7 vấn đề rủi ro thông tin đã được giải quyết, 2 vấn đề đã được gửi bản vá, 3 vấn đề còn lại liên quan đến tính nhất quán mã phiên bản Sui và Aptos, xác thực trạng thái tạm dừng và chuyển đổi kiểu dữ liệu.
Báo cáo kiểm toán của Zellic được tải lên vào tháng 4 năm 2023. Báo cáo phát hiện 3 rủi ro thông tin, hiện tại chưa được khắc phục. Những rủi ro này chủ yếu liên quan đến quyền hạn chức năng, sự dư thừa mã và lựa chọn loại dữ liệu hiển thị NFT, mức độ rủi ro tổng thể tương đối thấp.
Cần lưu ý rằng, MoveBit, OtterSec và Zellic đều là các tổ chức chuyên thực hiện kiểm toán mã Move, điều này trở nên đặc biệt quan trọng trong thị trường hiện tại chủ yếu là kiểm toán EVM.
Nhìn lại các biện pháp an ninh của một số dự án DEX mới nổi gần đây, chúng ta có thể nhận thấy một số xu hướng:
GMX V2 được 5 công ty thực hiện kiểm toán mã và đã triển khai chương trình thưởng lỗi lên đến 5 triệu đô la.
DeGate đã thuê 35 công ty để thực hiện kiểm toán, tiền thưởng cho lỗ hổng có thể lên đến 1.11 triệu USD.
DYDX V4 được Informal Systems kiểm toán, cũng đã thiết lập chương trình thưởng lỗ hổng trị giá 5 triệu đô la.
Hyperliquid đã cung cấp phần thưởng lỗi 1 triệu đô la trên cơ sở tự kiểm toán.
UniversalX đã chọn hai cơ quan nổi tiếng để thực hiện kiểm toán.
GMGN mặc dù chưa công bố báo cáo kiểm toán, nhưng đã thiết lập chương trình thưởng lỗi lên đến 10,000 USD cho từng lỗi.
Tóm lại, ngay cả những dự án như Cetus đã được nhiều tổ chức kiểm toán vẫn có thể bị tấn công. Việc kiểm toán đa bên kết hợp với chương trình thưởng cho lỗi hoặc cuộc thi kiểm toán có thể nâng cao mức độ an toàn của dự án ở mức độ nhất định. Tuy nhiên, đối với các giao thức DeFi mới nổi, những vấn đề kiểm toán chưa được sửa chữa vẫn đáng được chú ý. Điều này cũng giải thích tại sao các chuyên gia trong ngành đặc biệt chú trọng đến tình trạng kiểm toán mã của các giao thức mới.