此次Cetus受攻击的原因及影响暂时还不清楚,我们可以先看一下Cetus的代码安全审计情况。

外行咱们看不懂具体的技术,但是这个审计摘要是能看懂的。

➤Certik的审计

来看,Certik对Cetus的代码安全审计,只发现2个轻度危险、且已解决。还有9个信息性风险,6个已解决。

图像



Certik给出的综合评分是83.06,代码审计评分是96分。

➤Cetus的其他审计报告(SUI链)

在Cetus的Github上共列出了5份代码审计报告,其中不包括Certik的审计。估计项目方也知道,Certik的审计就是个形式,所以没把这份报告放进来。

Cetus同时支持Aptos和SUI链,这5份审计报告分别来自MoveBit、OtterSec和Zellic。其中MoveBit、OtterSec分别对Cetus在Aptos和SUI链上的代码进行审计,Zellic审计的应该也是SUI链上的代码。

因为此次被攻击的是SUI链上的Cetus,因此下面只看Cetus在SUI链的审计报告。

❚ 来自MoveBit的审计报告

报告上传Github时间:2023-04-28

我们如果看不懂具体的审计内容,可以找到这样的表格,看看报告中列出的各个级别的风险问题的数量,和解决情况。


图像

MoveBi对Cetust的审计报告,共发现18个风险问题,包括1个致命风险问题、2个主要风险问题、3个中度风险问题、12个轻度风险问题,全部已解决。

比Certik发现的问题要多,并且Cetus已经全部解决了这些问题。

❚ 来自OtterSec的审计报告

报告上传Github时间:2023-05-12

OtterSec对Cetus的审计报告共发现1个高风险问题、1个中度风险问题和7个信息性风险,因为报告的表格中没有直接显示风险问题解决情况,就不截图了。

其中,高风险问题和中度风险问题都已经解决。信息性风险问题,解决了2个,有2个提交了修复补丁,还有3个。大致研究了一下,这3个分别是:

•Sui与Aptos版本代码不一致问题,可能影响流动池的价格计算准确性。
•缺少暂停状态验证,在Swap时没有验证流动性池是否处于暂停状态。如果池子被暂停可能仍然可以交易。
•将u256类型转换为u64类型,如果值超过MAX_U64会导致溢出,在大额交易时,可能导致计算出错。

现在不确定被攻击是否和以上问题相关。

❚ 来自Zellic的审计报告

报告上传Github时间:2025年4月

Zellic对Cetus的审计报告共发现3个信息性风险、都未修复:

• 一个函数授权问题,允许任何人调用向任何合伙伴账户里存入费用。这好像没啥风险,是存钱、又不是取钱。所以Cetus暂时也没去修复。

• 存在一个已弃用代仍然被引用的函数,代码冗余,貌似没啥风险,只不过代码规范性不太够。

• NFT显示数据中的一个UI呈现问题,本来可以用字符型,但Cetus用了Move语言中比较复杂的TypeName数据类型。这不算啥问题,而且可能未来Cetus会给NFT开发其他功能。

总体上来说,Zellic发现了3个臭氧层子问题,基本上没啥风险,属于代码规范性方面的。

我们要记住这三家审计机构:MoveBit、OtterSec、Zellic。因为现在市场上的审计机构多数是擅长EVM审计,这三家审计机构属于Move语言代码审计机构。

➤审计与安全级别(以新DEX为例)

首先,没有代码审计过的项目,是有一定Rug风险的。毕竟他连这个审计的钱都不愿意出,很难让人相信有长期经营的愿望。

其次,Certik审计,其实是一种"人情式审计"。为什么说是"人情式审计"呢,Certik与coinmarketcap有非常紧密的合作。在coinmarketcap的项目页面上有一个审计图标,点击会进入Certik的导航平台skynet。

图像



coinmarketcap作为币安旗下的平台,间接的使Certik与币安建立了合作关系。事实上币安和Certik的关系一向不错,因此想上币安的项目大部分会寻求Certik的审计。

所以一个项目如果寻求Certik的审计,大概率想上币安。

但是,历史证明,仅由Certik审计的项目被攻击的概率不低,例如DEXX。甚至有的项目已经FUG了,例如ZKasino。

当然,Certik也有其他的一些安全性帮助,不仅有代码审计,Certik对网站、DNS等会进行扫描,有一些代码审计以外的安全信息。

第三,不少项目会寻求1家~多家其他的优质审计主体进行代码安全审计。

第四,除了专业代码审计,某些项目还会开展漏洞赏金计划和审计竞争,集思广议、排除漏洞。

因为本次受攻击的是DEX产品,所以以一些较新的DEX为例:

---------------------------
✦✦✦GMX V2,由abdk、certora、dedaub、guardian、sherlock共5家公司进行代码审计,并推出了单项最高500万美元漏洞赏金计划。

✦✦✦DeGate,由Secbit、Least Authority、Trail of Bits共35家公司进行代码审计,并推出了单项最高111万美元漏洞赏金计划。

✦✦✦DYDX V4由Informal Systems进行代码安全审计,并推出了单项最高500万美元漏洞赏金计划。

✦✦✦hyperliquid由hyperliquid进行代码安全审计,并推出了单项最高100万美元漏洞赏金计划。

✦✦UniversalX由是Certik和另一家专家审计机构审计(官方暂时下架了审计报告)

✦GMGN比较特殊,没有找到代码审计报告,只有有单项最高1万美元的漏洞赏金计划。

图像



➤写在最后

经过回顾这些DEX的代码安全审计情况,我们可以发现,即使像Cetus这样由3家审计机构共同审计的DEX也仍然会受到攻击。多主体审计,配合漏洞赏计划或审计竞赛,安全性相对有保障。

但是,对于一些新的Defi协议而言,代码审计中尚有问题没有修复,这就是为什么蜂兄格外关注新的Defi协议的代码审计情况。