Cetus遭受攻擊事件分析：代碼安全審計的重要性與局限性

近期，SUI生態中的去中心化交易所Cetus遭受攻擊，引發了業界對代碼安全審計有效性的討論。本文將深入分析Cetus的代碼安全審計情況，並探討代碼審計在防範安全風險方面的作用。

Cetus的代碼安全審計概況

Cetus作爲同時支持Aptos和SUI鏈的項目，其代碼安全審計工作相當全面。根據公開信息，Cetus共接受了多家機構的審計，包括MoveBit、OtterSec和Zellic等專業的Move語言代碼審計機構。

MoveBit的審計報告

MoveBit的審計報告顯示，共發現18個風險問題，涵蓋了不同級別的安全隱患。這些問題包括1個致命風險、2個主要風險、3個中度風險以及12個輕度風險。值得注意的是，Cetus團隊已經全面解決了這些identified的問題。

OtterSec的審計結果

OtterSec的審計工作發現了1個高風險問題、1個中度風險問題和7個信息性風險。高風險和中度風險問題已得到解決，而信息性風險中有2個已解決，2個提交了修復補丁，還有3個待處理。這些待處理的問題涉及代碼一致性、暫停狀態驗證和數據類型轉換等方面。

Zellic的審計發現

Zellic的審計報告相對溫和，僅指出3個信息性風險，主要涉及函數授權、代碼冗餘和數據類型選擇等方面。這些問題雖然不直接影響安全性，但反映了代碼規範性方面的一些問題。

代碼審計的局限性

盡管Cetus接受了多家機構的審計，並且大部分identified的問題都已得到解決，但仍然無法完全避免安全事件的發生。這一現象揭示了代碼審計在保障項目安全方面的局限性。

審計機構的專業性

不同於傳統的EVM審計機構，MoveBit、OtterSec和Zellic等專門從事Move語言代碼審計，這反映了針對特定技術棧進行專業審計的重要性。

多層次安全策略的必要性

僅僅依賴代碼審計是不夠的。一些領先的DeFi項目採取了更全面的安全策略，例如：

1. 多家機構聯合審計
2. 實施漏洞賞金計劃
3. 開展審計競賽

這些措施有助於發現更多潛在風險，提高項目的整體安全性。

對新興DeFi項目的啓示

1. 重視代碼審計：即使是簡單的項目，也應該進行基本的代碼審計，以展示對安全性的重視。

2. 選擇專業審計機構：根據項目的技術棧選擇相應的專業審計機構，確保審計的針對性和有效性。

3. 多重保障：除了代碼審計，還應考慮實施漏洞賞金計劃或審計競賽，以全方位提升安全性。

4. 持續優化：即使通過了初步審計，也應該持續關注並解決新發現的安全問題。

5. 透明度：公開審計報告和安全措施，增加用戶信心。

結語

Cetus事件再次提醒我們，代碼安全審計雖然重要，但並非萬無一失。對於DeFi項目而言，建立多層次、動態的安全防護體系至關重要。用戶在參與新興DeFi項目時，也應該全面評估項目的安全措施，而不僅僅依賴於單一的審計報告。