O incidente de ataque ao Cetus provoca discussões sobre auditoria de segurança de código

Recentemente, o DEX Cetus do ecossistema SUI foi atacado, gerando uma ampla discussão na indústria sobre a importância da auditoria de segurança de código. Atualmente, as causas e os impactos do ataque ainda não são claros, mas podemos explorar o papel e as limitações da auditoria de segurança revisando a situação da auditoria de segurança do Cetus.

Visão Geral da Auditoria de Segurança do Código do Cetus

A Cetus realizou várias rodadas de auditoria de segurança de código, incluindo relatórios de auditoria concluídos por instituições como Certik, MoveBit, OtterSec e Zellic.

O relatório de auditoria da Certik mostra que foram encontrados apenas 2 riscos leves e 9 riscos informativos, a maioria dos quais já foi resolvida. A pontuação global dada pela Certik é de 83,06, com uma pontuação de auditoria de código que chega a 96.

O relatório de auditoria da MoveBit é bastante abrangente, tendo identificado 18 problemas de risco, incluindo 1 risco crítico, 2 riscos principais, 3 riscos moderados e 12 riscos leves. Vale a pena notar que todos esses problemas já foram resolvidos.

O relatório de auditoria da OtterSec apontou 1 problema de alto risco e 1 problema de risco moderado, sendo que esses dois problemas já foram resolvidos. Além disso, existem 7 riscos informativos, dos quais 2 foram resolvidos, 2 tiveram correções submetidas e 3 ainda não foram tratados.

O relatório de auditoria da Zellic identificou 3 riscos informativos, principalmente relacionados à conformidade do código, com um nível de risco relativamente baixo.

Auditoria de Código e Segurança do Projeto

Apesar de a Cetus ter passado por várias auditorias, não conseguiu evitar o destino de ser atacada. Este evento suscitou reflexões sobre a eficácia das auditorias de código. Ao comparar algumas medidas de segurança de projetos DEX emergentes, podemos chegar às seguintes conclusões:

1. Projetos que carecem de auditoria de código apresentam certos riscos, podendo sugerir que a equipe do projeto não tem determinação para operar a longo prazo.

2. Depender apenas de uma única entidade de auditoria pode não ser suficiente. Por exemplo, projetos que foram auditados apenas pela Certik também tiveram casos de ataques ou desaparecimentos no passado.

3. A auditoria conjunta de várias instituições de auditoria de alta qualidade pode aumentar a segurança. Alguns dos principais projetos, como GMX V2, DeGate, DYDX V4, entre outros, utilizaram os serviços de várias instituições de auditoria.

4. Além da auditoria de código profissional, implementar programas de recompensas por vulnerabilidades e competições de auditoria também são meios eficazes de aumentar a segurança. Por exemplo, projetos como GMX V2, DeGate e DYDX V4 lançaram programas de recompensas por vulnerabilidades de alto valor.

Conclusão

O ataque ao Cetus é um lembrete de que, mesmo projetos que passaram por várias auditorias, podem apresentar vulnerabilidades de segurança. Para garantir a segurança do projeto ao máximo, recomenda-se a adoção de auditorias por múltiplas partes, juntamente com programas de recompensas por bugs ou competições de auditoria, entre outras medidas abrangentes. Para protocolos DeFi emergentes, é especialmente importante monitorar de perto a situação das auditorias de código e os problemas de segurança não resolvidos.

No mundo em rápida evolução da blockchain, a segurança é sempre a prioridade número um. As equipes de projeto, investidores e usuários devem estar sempre alertas para manter o desenvolvimento saudável do ecossistema.