# Cetusが攻撃を受け、コードセキュリティ監査の再考を引き起こす最近、Suiエコシステム内の分散型取引所Cetusが攻撃を受け、業界内でコードセキュリティ監査の有効性についての議論が巻き起こっています。現在、攻撃の原因と影響はまだ明確ではありませんが、まずCetusのコードセキュリティ監査の状況を振り返ってみましょう。ある有名なセキュリティ監査機関がCetusの監査結果を示し、軽度のリスクが2つのみ発見され、既に解決されていること、情報的リスク9つのうち6つが解決されていることを報告しました。この機関が提供した総合スコアは83.06点で、コード監査スコアは96点に達しています。しかし、Cetusの公式が発表した5件のコード監査報告には、上記の機関の監査結果は含まれていません。この5件の報告は、それぞれMoveBit、OtterSec、Zellicの3つの専門機関からのもので、CetusのAptosおよびSuiチェーン上のコードをカバーしています。今回の攻撃がSuiチェーンで発生したことを考慮し、私たちはSuiチェーンに関連する監査報告に重点を置いています。MoveBitの監査報告書は2023年4月28日にGithubにアップロードされました。この報告書では、1つの致命的リスク、2つの主要リスク、3つの中程度のリスク、12の軽度のリスクを含む18のリスク問題が発見されました。注目すべきは、これらの問題はすべて解決されているということです。OtterSecの監査報告書は2023年5月12日にアップロードされました。報告書では1つの高リスク問題、1つの中程度リスク問題、7つの情報リスクが指摘されています。その中で高リスクと中程度リスクの問題は解決済みであり、情報リスクのうち2つは解決され、2つは修正パッチが提出され、残りの3つはSuiとAptosのバージョンコードの整合性、停止状態の検証、およびデータ型変換に関する問題が含まれています。Zellicの監査報告書のアップロード時間は2023年4月です。報告書は3つの情報リスクを発見し、現在は修正されていません。これらのリスクは、主に関数の権限付与、コードの冗長性、NFTの表示データタイプの選択などに関連しており、全体的なリスクレベルは低いです。特に注目すべきは、MoveBit、OtterSec、ZellicがすべてMove言語のコード監査を専門とする機関であり、現在EVM監査が主流の市場において非常に重要であるということです。! 【SUI Ecosystem DEX #Cetus 攻撃を受けたとき、コードセキュリティ監査は本当に十分か? ](https://img-cdn.gateio.im/social/moments-fb51a86cbc2a96eb03870b729e9e1646)最近のいくつかの新興DEXプロジェクトのセキュリティ対策を振り返ると、いくつかの傾向が見えてきます。1. GMX V2は5社によるコード監査を受けており、最大500万ドルのバグバウンティプログラムを開始しました。2. DeGateは35社を雇って監査を行い、脆弱性報奨金は最大111万ドルに達する可能性があります。3. DYDX V4はInformal Systemsによって監査されており、同様に500万ドルのバグバウンティプログラムが設立されています。4. Hyperliquidは自己監査に基づき、100万ドルのバグ報奨金を提供しています。5. UniversalXは2つの有名な機関に監査を依頼しました。6. GMGNは監査報告書を公開していませんが、単一の最高1万ドルの脆弱性報奨プログラムを設立しました。! 【SUI Ecosystem DEX #Cetus 攻撃を受けたとき、コードセキュリティ監査は本当に十分か? ](https://img-cdn.gateio.im/social/moments-96f1841400ac56dfeac5f81a81e7aa6f)! 【SUI Ecosystem DEX #Cetus 攻撃を受けたとき、コードセキュリティ監査は本当に十分か? ](https://img-cdn.gateio.im/social/moments-5965ddc6b5327a2c9932afd86bdc8ecb)! 【SUI Ecosystem DEX #Cetus 攻撃を受けたとき、コードセキュリティ監査は本当に十分か? ](https://img-cdn.gateio.im/social/moments-9001e93d1e49d0078b985b1b1df33019)以上のように、Cetusのように複数の機関による監査を受けたプロジェクトでさえ、攻撃を受ける可能性があります。複数の監査とバグバウンティプログラムや監査コンペティションを組み合わせることで、プロジェクトの安全性をある程度向上させることができます。しかし、新興のDeFiプロトコルに関しては、未修正の監査問題は依然として注目に値します。これが業界の専門家が新しいプロトコルのコード監査の状況を特に重視する理由でもあります。
Cetusが攻撃を受ける 多重コード監査ではプロジェクトの安全を確保できない
Cetusが攻撃を受け、コードセキュリティ監査の再考を引き起こす
最近、Suiエコシステム内の分散型取引所Cetusが攻撃を受け、業界内でコードセキュリティ監査の有効性についての議論が巻き起こっています。現在、攻撃の原因と影響はまだ明確ではありませんが、まずCetusのコードセキュリティ監査の状況を振り返ってみましょう。
ある有名なセキュリティ監査機関がCetusの監査結果を示し、軽度のリスクが2つのみ発見され、既に解決されていること、情報的リスク9つのうち6つが解決されていることを報告しました。この機関が提供した総合スコアは83.06点で、コード監査スコアは96点に達しています。
しかし、Cetusの公式が発表した5件のコード監査報告には、上記の機関の監査結果は含まれていません。この5件の報告は、それぞれMoveBit、OtterSec、Zellicの3つの専門機関からのもので、CetusのAptosおよびSuiチェーン上のコードをカバーしています。今回の攻撃がSuiチェーンで発生したことを考慮し、私たちはSuiチェーンに関連する監査報告に重点を置いています。
MoveBitの監査報告書は2023年4月28日にGithubにアップロードされました。この報告書では、1つの致命的リスク、2つの主要リスク、3つの中程度のリスク、12の軽度のリスクを含む18のリスク問題が発見されました。注目すべきは、これらの問題はすべて解決されているということです。
OtterSecの監査報告書は2023年5月12日にアップロードされました。報告書では1つの高リスク問題、1つの中程度リスク問題、7つの情報リスクが指摘されています。その中で高リスクと中程度リスクの問題は解決済みであり、情報リスクのうち2つは解決され、2つは修正パッチが提出され、残りの3つはSuiとAptosのバージョンコードの整合性、停止状態の検証、およびデータ型変換に関する問題が含まれています。
Zellicの監査報告書のアップロード時間は2023年4月です。報告書は3つの情報リスクを発見し、現在は修正されていません。これらのリスクは、主に関数の権限付与、コードの冗長性、NFTの表示データタイプの選択などに関連しており、全体的なリスクレベルは低いです。
特に注目すべきは、MoveBit、OtterSec、ZellicがすべてMove言語のコード監査を専門とする機関であり、現在EVM監査が主流の市場において非常に重要であるということです。
! 【SUI Ecosystem DEX #Cetus 攻撃を受けたとき、コードセキュリティ監査は本当に十分か? ](https://img-cdn.gateio.im/webp-social/moments-fb51a86cbc2a96eb03870b729e9e1646.webp)
最近のいくつかの新興DEXプロジェクトのセキュリティ対策を振り返ると、いくつかの傾向が見えてきます。
GMX V2は5社によるコード監査を受けており、最大500万ドルのバグバウンティプログラムを開始しました。
DeGateは35社を雇って監査を行い、脆弱性報奨金は最大111万ドルに達する可能性があります。
DYDX V4はInformal Systemsによって監査されており、同様に500万ドルのバグバウンティプログラムが設立されています。
Hyperliquidは自己監査に基づき、100万ドルのバグ報奨金を提供しています。
UniversalXは2つの有名な機関に監査を依頼しました。
GMGNは監査報告書を公開していませんが、単一の最高1万ドルの脆弱性報奨プログラムを設立しました。
! 【SUI Ecosystem DEX #Cetus 攻撃を受けたとき、コードセキュリティ監査は本当に十分か? ](https://img-cdn.gateio.im/webp-social/moments-96f1841400ac56dfeac5f81a81e7aa6f.webp)
! 【SUI Ecosystem DEX #Cetus 攻撃を受けたとき、コードセキュリティ監査は本当に十分か? ](https://img-cdn.gateio.im/webp-social/moments-5965ddc6b5327a2c9932afd86bdc8ecb.webp)
! 【SUI Ecosystem DEX #Cetus 攻撃を受けたとき、コードセキュリティ監査は本当に十分か? ](https://img-cdn.gateio.im/webp-social/moments-9001e93d1e49d0078b985b1b1df33019.webp)
以上のように、Cetusのように複数の機関による監査を受けたプロジェクトでさえ、攻撃を受ける可能性があります。複数の監査とバグバウンティプログラムや監査コンペティションを組み合わせることで、プロジェクトの安全性をある程度向上させることができます。しかし、新興のDeFiプロトコルに関しては、未修正の監査問題は依然として注目に値します。これが業界の専門家が新しいプロトコルのコード監査の状況を特に重視する理由でもあります。