Cetus saldırı olayı kod güvenliği denetimi tartışmalarını tetikledi

Son zamanlarda, SUI ekosistem DEX'i Cetus bir saldırıya uğradı ve bu, sektörde kod güvenlik denetimlerinin önemine dair geniş bir tartışma başlattı. Şu anda saldırının nedeni ve etkileri belirsiz, ancak Cetus'un kod güvenlik denetim durumunu gözden geçirerek güvenlik denetimlerinin rolünü ve sınırlılıklarını inceleyebiliriz.

Cetus'un Kod Güvenlik Denetimi Genel Görünümü

Cetus, Certik, MoveBit, OtterSec ve Zellic gibi kuruluşlar tarafından gerçekleştirilen denetim raporları da dahil olmak üzere, çok sayıda kod güvenlik denetimi gerçekleştirmiştir.

Certik'in denetim raporu, yalnızca 2 hafif risk ve 9 bilgilendirici risk tespit edildiğini, bunların çoğunun çözüldüğünü göstermektedir. Certik'in verdiği toplam puan 83.06, kod denetim puanı ise 96'dır.

MoveBit'in denetim raporu oldukça kapsamlıdır, toplamda 18 risk sorunu tespit edilmiştir. Bunlar arasında 1 kritik risk, 2 önemli risk, 3 orta düzey risk ve 12 hafif risk bulunmaktadır. Dikkat edilmesi gereken nokta, bu sorunların hepsinin çözüldüğüdür.

OtterSec'in denetim raporu 1 yüksek riskli sorun ve 1 orta riskli sorun belirlemiştir, bu iki sorun çözülmüştür. Ayrıca 7 bilgi riskinin yanı sıra, 2'si çözülmüş, 2'si düzeltme yaması sunulmuş ve 3'ü henüz işlenmemiştir.

Zellic'in denetim raporu, kod standartları açısından üç bilgi riski tespit etti; risk seviyesi düşük.

Kod Denetimi ve Proje Güvenliği

Cetus birden fazla denetim gerçekleştirmesine rağmen saldırıya uğrama kaderinden kaçamadı. Bu olay, kod denetiminin etkinliği üzerine düşünceleri tetikledi. Bazı yeni DEX projelerinin güvenlik önlemlerini karşılaştırarak şu görüşe varabiliriz:

1. Kod denetimi eksik projeler belirli bir risk taşır ve bu, proje sahiplerinin uzun vadeli işletme kararlılığına sahip olmadığını ima edebilir.

2. Sadece tek bir denetim kuruluşunun denetimine dayanmak yeterince kapsamlı olmayabilir. Örneğin, sadece Certik tarafından denetlenen projeler geçmişte saldırıya uğramış veya dolandırıcılık yapmış durumlarla karşılaşmıştır.

3. Birden fazla kaliteli denetim kuruluşunun ortak denetimi güvenliği artırabilir. GMX V2, DeGate, DYDX V4 gibi bazı üst düzey projeler, birden fazla denetim kuruluşunun hizmetlerinden yararlanmıştır.

4. Profesyonel kod denetiminin yanı sıra, güvenliği artırmanın etkili yollarından biri de açık bulma programları ve denetim yarışmaları düzenlemektir. Örneğin, GMX V2, DeGate, DYDX V4 gibi projeler yüksek ödüllü açık bulma programları başlattı.

Sonuç

Cetus'un saldırıya uğraması olayı, birden fazla denetimden geçmiş projelerin bile güvenlik açıkları barındırabileceğini bir kez daha hatırlatıyor. Proje güvenliğini en üst düzeye çıkarmak için, birden fazla denetim organı ile birlikte, açık bulma ödül programları veya denetim yarışmaları gibi kapsamlı önlemlerin alınması önerilmektedir. Yeni ortaya çıkan DeFi protokolleri için özellikle kod denetim durumuna ve çözülmemiş güvenlik sorunlarına dikkat etmek gerekmektedir.

Hızla gelişen blockchain dünyasında güvenlik her zaman birinci önceliktir. Proje sahipleri, yatırımcılar ve kullanıcılar her zaman dikkatli olmalı ve ekosistemin sağlıklı gelişimini birlikte korumalıdır.