Cetus協議遭受攻擊，代碼安全審計能否保障安全？

近期，SUI生態中的去中心化交易所Cetus遭受攻擊，具體原因和影響尚不明確。讓我們回顧一下Cetus的代碼安全審計情況，看看審計是否能真正保障協議安全。

Cetus的代碼審計情況

Cetus曾接受多家機構的代碼審計，包括Certik、MoveBit、OtterSec和Zellic。

Certik審計

Certik的審計結果顯示，Cetus僅存在2個輕度風險和9個信息性風險，大部分已解決。Certik給出的綜合評分爲83.06分，代碼審計評分爲96分。

MoveBit審計

MoveBit的審計報告發現了18個風險問題，包括1個致命風險、2個主要風險、3個中度風險和12個輕度風險。據報告顯示，這些問題已全部解決。

OtterSec審計

OtterSec的審計報告發現了1個高風險問題、1個中度風險問題和7個信息性風險。高風險和中度風險問題已解決，部分信息性風險仍待處理。

Zellic審計

Zellic的審計報告發現了3個信息性風險，主要涉及代碼規範性問題，風險較低。

值得注意的是，MoveBit、OtterSec和Zellic都是專門針對Move語言進行代碼審計的機構，而非傳統的以太坊虛擬機（EVM）審計機構。

代碼審計與項目安全性

僅依靠代碼審計並不能完全保證項目的安全性。以下是一些關於代碼審計和項目安全性的觀點：

1. 未經審計的項目可能存在較高的風險。

2. 某些審計可能流於形式，不能完全反映項目的真實安全狀況。

3. 多家機構共同審計能提高安全性，但仍不能完全杜絕風險。

4. 除了專業審計，開展漏洞賞金計劃和審計競賽也是提高安全性的有效方式。

新興DEX的安全措施

一些新興的去中心化交易所（DEX）採取了多重安全措施：

• GMX V2：5家公司進行代碼審計，並推出高額漏洞賞金計劃。
• DeGate：35家公司參與代碼審計，同時推出漏洞賞金計劃。
• DYDX V4：進行代碼安全審計，並設立大規模漏洞賞金計劃。
• Hyperliquid：進行內部代碼審計，並推出漏洞賞金計劃。
• UniversalX：由多家知名安全公司進行代碼審計。

結語

盡管Cetus經過多家機構的代碼審計，仍然遭受了攻擊。這表明，即使是經過嚴格審計的項目也可能存在安全隱患。對於DeFi項目而言，多方審計配合漏洞賞金計劃或審計競賽，能夠相對提高安全性。然而，用戶在參與新興DeFi協議時，仍需保持警惕，特別是當協議尚未解決所有已知問題時。