Cetus遭受攻擊引發代碼安全審計反思

近期，Sui生態中的去中心化交易所Cetus遭受攻擊，引發了業內對代碼安全審計有效性的熱議。目前攻擊原因及影響尚不明確，但我們可以先回顧一下Cetus的代碼安全審計情況。

某知名安全審計機構對Cetus的審計結果顯示，僅發現2個輕度風險且已解決，9個信息性風險中6個已解決。該機構給出的綜合評分爲83.06分，代碼審計評分高達96分。

然而，Cetus官方公布的5份代碼審計報告中並未包含上述機構的審計結果。這5份報告分別來自MoveBit、OtterSec和Zellic三家專業機構，涵蓋了Cetus在Aptos和Sui鏈上的代碼。鑑於此次攻擊發生在Sui鏈上，我們重點關注Sui鏈相關的審計報告。

MoveBit的審計報告於2023年4月28日上傳至Github。該報告共發現18個風險問題，包括1個致命風險、2個主要風險、3個中度風險和12個輕度風險。值得注意的是，這些問題均已得到解決。

OtterSec的審計報告於2023年5月12日上傳。報告指出1個高風險問題、1個中度風險問題和7個信息性風險。其中高風險和中度風險問題已解決，信息性風險中2個已解決，2個提交了修復補丁，剩餘3個涉及Sui與Aptos版本代碼一致性、暫停狀態驗證和數據類型轉換等問題。

Zellic的審計報告上傳時間爲2023年4月。報告發現3個信息性風險，目前均未修復。這些風險主要涉及函數授權、代碼冗餘和NFT顯示數據類型選擇等方面，整體風險級別較低。

值得一提的是，MoveBit、OtterSec和Zellic都是專門從事Move語言代碼審計的機構，這在當前以EVM審計爲主的市場中顯得尤爲重要。

回顧近期一些新興DEX項目的安全措施，我們可以發現一些趨勢：

1. GMX V2由5家公司進行代碼審計，並推出了高達500萬美元的漏洞賞金計劃。

2. DeGate聘請了35家公司進行審計，漏洞賞金最高可達111萬美元。

3. DYDX V4由Informal Systems審計，同樣設立了500萬美元的漏洞賞金計劃。

4. Hyperliquid在自行審計的基礎上，提供了100萬美元的漏洞賞金。

5. UniversalX則選擇了兩家知名機構進行審計。

6. GMGN雖未公布審計報告，但設立了單項最高1萬美元的漏洞賞金計劃。

綜上所述，即使像Cetus這樣經過多家機構審計的項目也可能遭受攻擊。多方審計配合漏洞賞金計劃或審計競賽，能在一定程度上提高項目安全性。然而，對於新興DeFi協議而言，未修復的審計問題仍然值得關注。這也解釋了爲什麼業內專家格外重視新協議的代碼審計情況。