Cetus安全事件回顧與代碼審計分析

近期，SUI生態DEX Cetus遭遇攻擊，引發了業內對DeFi項目安全性的再次關注。本文將對Cetus的代碼安全審計情況進行回顧，並探討代碼審計對DeFi項目安全性的影響。

Cetus的代碼審計情況

Cetus在Github上公布了多份代碼審計報告，主要來自MoveBit、OtterSec和Zellic三家機構。由於本次攻擊發生在SUI鏈上，我們重點關注SUI鏈相關的審計結果。

MoveBit審計報告

MoveBit的審計報告於2023年4月28日上傳，共發現18個風險問題：

• 1個致命風險
• 2個主要風險
• 3個中度風險
• 12個輕度風險

值得注意的是，這些問題均已得到解決。

OtterSec審計報告

OtterSec的審計報告於2023年5月12日上傳，發現以下問題：

• 1個高風險問題（已解決）
• 1個中度風險問題（已解決）
• 7個信息性風險（2個已解決，2個提交修復補丁，3個待處理）

未完全解決的信息性風險包括：

1. SUI與Aptos版本代碼不一致，可能影響流動池價格計算
2. 缺少暫停狀態驗證，可能導致暫停狀態下仍可交易
3. 大額交易時可能出現u256到u64的類型轉換溢出

Zellic審計報告

Zellic的審計報告發現3個信息性風險，均未修復：

1. 函數授權問題，允許任何人向合夥人帳戶存入費用
2. 存在已棄用但仍被引用的函數，導致代碼冗餘
3. NFT顯示數據中使用了復雜的TypeName數據類型

這些問題主要涉及代碼規範性，風險相對較低。

代碼審計與項目安全性

從Cetus的案例可以看出，即使經過多家機構審計的項目仍可能遭受攻擊。這提醒我們，代碼審計雖然重要，但並非萬無一失的安全保障。

對比一些新興DEX項目的安全措施：

1. GMX V2：5家公司審計，最高500萬美元漏洞賞金
2. DeGate：35家公司審計，最高111萬美元漏洞賞金
3. DYDX V4：由Informal Systems審計，最高500萬美元漏洞賞金
4. Hyperliquid：自主審計，最高100萬美元漏洞賞金
5. UniversalX：Certik和慢霧雙重審計
6. GMGN：未公布審計報告，但有最高1萬美元漏洞賞金計劃

結論

多方審計配合高額漏洞賞金計劃，能在一定程度上提高項目安全性。然而，新興DeFi協議仍可能存在未修復的安全隱患。因此，投資者在參與新項目時，應特別關注其代碼審計情況和安全措施。

對於DeFi項目方而言，持續的安全審計和及時的漏洞修復至關重要。同時，建立完善的風險管理機制，包括應急響應預案，也是保障項目長期穩定運行的必要措施。