تعرضت Cetus لهجوم مما أثار التفكير في تدقيق أمان الكود
مؤخراً، تعرضت منصة التداول اللامركزية Cetus في نظام Sui البيئي للاختراق، مما أثار نقاشاً حاداً في الصناعة حول فعالية تدقيق أمان الكود. حتى الآن، لم يتضح سبب الهجوم وتأثيره، لكن يمكننا أولاً استعراض حالة تدقيق أمان كود Cetus.
أظهرت نتائج تدقيق Cetus من قبل إحدى وكالات التدقيق الأمني المشهورة أنها وجدت فقط خطرين خفيفين تم حلهم، و6 من أصل 9 مخاطر معلوماتية تم حلها. وأعطت الوكالة درجة شاملة قدرها 83.06، بينما بلغت درجة تدقيق الكود 96.
ومع ذلك، لم تتضمن 5 تقارير تدقيق الكود التي نشرتها Cetus الرسمية نتائج تدقيق المؤسسات المذكورة أعلاه. تأتي هذه التقارير الخمس من ثلاث مؤسسات متخصصة هي MoveBit وOtterSec وZellic، وتغطي كود Cetus على سلسلتي Aptos وSui. نظرًا لأن هذا الهجوم وقع على سلسلة Sui، فإننا نركز بشكل خاص على تقارير التدقيق المتعلقة بسلسلة Sui.
تم رفع تقرير تدقيق MoveBit إلى Github في 28 أبريل 2023. وقد وجد التقرير ما مجموعه 18 مشكلة مخاطر، بما في ذلك 1 خطر قاتل، 2 مخاطر رئيسية، 3 مخاطر متوسطة و12 خطر خفيف. ومن الجدير بالذكر أن هذه المشاكل قد تم حلها جميعًا.
تم تحميل تقرير التدقيق الخاص بـ OtterSec في 12 مايو 2023. يشير التقرير إلى وجود مشكلة عالية المخاطر واحدة، ومشكلة متوسطة المخاطر واحدة، وسبع مشكلات معلوماتية. تم حل مشكلتي المخاطر العالية والمتوسطة، وتم حل اثنتين من المشكلات المعلوماتية، وتم تقديم تصحيحات لأخرى، بينما تتعلق الثلاث مشكلات المتبقية بتوافق شفرة إصدار Sui وAptos، والتحقق من حالة الإيقاف، وتحويل نوع البيانات.
تم رفع تقرير التدقيق الخاص بـ Zellic في أبريل 2023. وقد وجد التقرير 3 مخاطر معلوماتية، ولم يتم إصلاحها حتى الآن. تتعلق هذه المخاطر بشكل رئيسي بتفويض الدوال، والرموز الزائدة، واختيار نوع بيانات عرض NFT، ويعتبر مستوى المخاطر بشكل عام منخفضًا.
من الجدير بالذكر أن MoveBit و OtterSec و Zellic هي جهات متخصصة في تدقيق كود لغة Move، وهو أمر مهم بشكل خاص في السوق الحالي الذي يهيمن عليه تدقيق EVM.
عند مراجعة التدابير الأمنية لبعض مشاريع DEX الناشئة الأخيرة، يمكننا أن نلاحظ بعض الاتجاهات:
تم تدقيق كود GMX V2 من قبل 5 شركات، وتم إطلاق برنامج مكافآت للثغرات يصل إلى 5000000 دولار.
قامت DeGate بتوظيف 35 شركة لإجراء تدقيق، حيث يمكن أن تصل مكافأة الثغرات إلى 1,110,000 دولار أمريكي.
تم تدقيق DYDX V4 بواسطة Informal Systems، وتم إنشاء برنامج مكافآت بقيمة 5 ملايين دولار للثغرات.
توفر Hyperliquid مكافأة على الثغرات تبلغ 1,000,000 دولار أمريكي استنادًا إلى تدقيقها الذاتي.
بناءً على ما سبق، حتى المشاريع التي تم تدقيقها من قبل العديد من المؤسسات مثل Cetus قد تتعرض للهجمات. إن الجمع بين تدقيقات متعددة وبرامج مكافآت الثغرات أو مسابقات التدقيق يمكن أن يزيد من أمان المشروع إلى حد ما. ومع ذلك، فإن المشاكل التي لم يتم إصلاحها في التدقيق لا تزال تستحق الاهتمام بالنسبة للبروتوكولات المالية اللامركزية الناشئة. وهذا يفسر أيضًا لماذا يولي الخبراء في الصناعة أهمية خاصة لحالة تدقيق الشيفرة الخاصة بالبروتوكولات الجديدة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 17
أعجبني
17
8
إعادة النشر
مشاركة
تعليق
0/400
SchrodingersFOMO
· منذ 10 س
تقييم التدقيق مرتفع للغاية، ولا داعي للقلق حتى عند تعرضه للهجوم.
شاهد النسخة الأصليةرد0
OffchainWinner
· منذ 12 س
تمت إصلاح ستة ثغرات وما زالت تتعرض للهجوم؟
شاهد النسخة الأصليةرد0
MetaverseLandlord
· منذ 12 س
ما فائدة تدقيق الشيفرة...
شاهد النسخة الأصليةرد0
ZeroRushCaptain
· منذ 12 س
التدقيق هو دفع ضريبة الذكاء
شاهد النسخة الأصليةرد0
YieldHunter
· منذ 12 س
من الناحية الفنية... درجات التدقيق لا تعني شيئًا إذا لم تتمكن من تأمين العائد، يا إلهي
تعرضت Cetus للهجوم، ومن الصعب ضمان أمان المشروع رغم تعدد تدقيقات الشيفرة.
تعرضت Cetus لهجوم مما أثار التفكير في تدقيق أمان الكود
مؤخراً، تعرضت منصة التداول اللامركزية Cetus في نظام Sui البيئي للاختراق، مما أثار نقاشاً حاداً في الصناعة حول فعالية تدقيق أمان الكود. حتى الآن، لم يتضح سبب الهجوم وتأثيره، لكن يمكننا أولاً استعراض حالة تدقيق أمان كود Cetus.
أظهرت نتائج تدقيق Cetus من قبل إحدى وكالات التدقيق الأمني المشهورة أنها وجدت فقط خطرين خفيفين تم حلهم، و6 من أصل 9 مخاطر معلوماتية تم حلها. وأعطت الوكالة درجة شاملة قدرها 83.06، بينما بلغت درجة تدقيق الكود 96.
ومع ذلك، لم تتضمن 5 تقارير تدقيق الكود التي نشرتها Cetus الرسمية نتائج تدقيق المؤسسات المذكورة أعلاه. تأتي هذه التقارير الخمس من ثلاث مؤسسات متخصصة هي MoveBit وOtterSec وZellic، وتغطي كود Cetus على سلسلتي Aptos وSui. نظرًا لأن هذا الهجوم وقع على سلسلة Sui، فإننا نركز بشكل خاص على تقارير التدقيق المتعلقة بسلسلة Sui.
تم رفع تقرير تدقيق MoveBit إلى Github في 28 أبريل 2023. وقد وجد التقرير ما مجموعه 18 مشكلة مخاطر، بما في ذلك 1 خطر قاتل، 2 مخاطر رئيسية، 3 مخاطر متوسطة و12 خطر خفيف. ومن الجدير بالذكر أن هذه المشاكل قد تم حلها جميعًا.
تم تحميل تقرير التدقيق الخاص بـ OtterSec في 12 مايو 2023. يشير التقرير إلى وجود مشكلة عالية المخاطر واحدة، ومشكلة متوسطة المخاطر واحدة، وسبع مشكلات معلوماتية. تم حل مشكلتي المخاطر العالية والمتوسطة، وتم حل اثنتين من المشكلات المعلوماتية، وتم تقديم تصحيحات لأخرى، بينما تتعلق الثلاث مشكلات المتبقية بتوافق شفرة إصدار Sui وAptos، والتحقق من حالة الإيقاف، وتحويل نوع البيانات.
تم رفع تقرير التدقيق الخاص بـ Zellic في أبريل 2023. وقد وجد التقرير 3 مخاطر معلوماتية، ولم يتم إصلاحها حتى الآن. تتعلق هذه المخاطر بشكل رئيسي بتفويض الدوال، والرموز الزائدة، واختيار نوع بيانات عرض NFT، ويعتبر مستوى المخاطر بشكل عام منخفضًا.
من الجدير بالذكر أن MoveBit و OtterSec و Zellic هي جهات متخصصة في تدقيق كود لغة Move، وهو أمر مهم بشكل خاص في السوق الحالي الذي يهيمن عليه تدقيق EVM.
عند مراجعة التدابير الأمنية لبعض مشاريع DEX الناشئة الأخيرة، يمكننا أن نلاحظ بعض الاتجاهات:
تم تدقيق كود GMX V2 من قبل 5 شركات، وتم إطلاق برنامج مكافآت للثغرات يصل إلى 5000000 دولار.
قامت DeGate بتوظيف 35 شركة لإجراء تدقيق، حيث يمكن أن تصل مكافأة الثغرات إلى 1,110,000 دولار أمريكي.
تم تدقيق DYDX V4 بواسطة Informal Systems، وتم إنشاء برنامج مكافآت بقيمة 5 ملايين دولار للثغرات.
توفر Hyperliquid مكافأة على الثغرات تبلغ 1,000,000 دولار أمريكي استنادًا إلى تدقيقها الذاتي.
اختارت UniversalX مؤسستين معروفتين لإجراء التدقيق.
على الرغم من أن GMGN لم تعلن عن تقرير التدقيق، إلا أنها أنشأت برنامج مكافآت للثغرات يصل إلى 10,000 دولار أمريكي لكل ثغرة.
! SUI Ecosystem DEX #Cetus هل تدقيق أمان الكود كاف حقا عند الهجوم؟
بناءً على ما سبق، حتى المشاريع التي تم تدقيقها من قبل العديد من المؤسسات مثل Cetus قد تتعرض للهجمات. إن الجمع بين تدقيقات متعددة وبرامج مكافآت الثغرات أو مسابقات التدقيق يمكن أن يزيد من أمان المشروع إلى حد ما. ومع ذلك، فإن المشاكل التي لم يتم إصلاحها في التدقيق لا تزال تستحق الاهتمام بالنسبة للبروتوكولات المالية اللامركزية الناشئة. وهذا يفسر أيضًا لماذا يولي الخبراء في الصناعة أهمية خاصة لحالة تدقيق الشيفرة الخاصة بالبروتوكولات الجديدة.