Cetus协议遭受攻击，代码安全审计能否保障安全？

近期，SUI生态中的去中心化交易所Cetus遭受攻击，具体原因和影响尚不明确。让我们回顾一下Cetus的代码安全审计情况，看看审计是否能真正保障协议安全。

Cetus的代码审计情况

Cetus曾接受多家机构的代码审计，包括Certik、MoveBit、OtterSec和Zellic。

Certik审计

Certik的审计结果显示，Cetus仅存在2个轻度风险和9个信息性风险，大部分已解决。Certik给出的综合评分为83.06分，代码审计评分为96分。

MoveBit审计

MoveBit的审计报告发现了18个风险问题，包括1个致命风险、2个主要风险、3个中度风险和12个轻度风险。据报告显示，这些问题已全部解决。

OtterSec审计

OtterSec的审计报告发现了1个高风险问题、1个中度风险问题和7个信息性风险。高风险和中度风险问题已解决，部分信息性风险仍待处理。

Zellic审计

Zellic的审计报告发现了3个信息性风险，主要涉及代码规范性问题，风险较低。

值得注意的是，MoveBit、OtterSec和Zellic都是专门针对Move语言进行代码审计的机构，而非传统的以太坊虚拟机（EVM）审计机构。

代码审计与项目安全性

仅依靠代码审计并不能完全保证项目的安全性。以下是一些关于代码审计和项目安全性的观点：

1. 未经审计的项目可能存在较高的风险。

2. 某些审计可能流于形式，不能完全反映项目的真实安全状况。

3. 多家机构共同审计能提高安全性，但仍不能完全杜绝风险。

4. 除了专业审计，开展漏洞赏金计划和审计竞赛也是提高安全性的有效方式。

新兴DEX的安全措施

一些新兴的去中心化交易所（DEX）采取了多重安全措施：

• GMX V2：5家公司进行代码审计，并推出高额漏洞赏金计划。
• DeGate：35家公司参与代码审计，同时推出漏洞赏金计划。
• DYDX V4：进行代码安全审计，并设立大规模漏洞赏金计划。
• Hyperliquid：进行内部代码审计，并推出漏洞赏金计划。
• UniversalX：由多家知名安全公司进行代码审计。

结语

尽管Cetus经过多家机构的代码审计，仍然遭受了攻击。这表明，即使是经过严格审计的项目也可能存在安全隐患。对于DeFi项目而言，多方审计配合漏洞赏金计划或审计竞赛，能够相对提高安全性。然而，用户在参与新兴DeFi协议时，仍需保持警惕，特别是当协议尚未解决所有已知问题时。