Cetus'a yapılan saldırı kod güvenliği denetimi üzerine düşünceleri tetikledi
Son zamanlarda, Sui ekosistemindeki merkeziyetsiz borsa Cetus saldırıya uğradı ve bu durum sektörde kod güvenlik denetimlerinin etkinliği üzerine yoğun tartışmalara yol açtı. Şu anda saldırının nedeni ve etkisi net değil, ancak öncelikle Cetus'un kod güvenlik denetim durumunu gözden geçirebiliriz.
Ünlü bir güvenlik denetim kuruluşu, Cetus'un denetim sonuçlarının yalnızca 2 hafif risk tespit ettiğini ve bunların çözüldüğünü, 9 bilgi riskinden 6'sının da çözüldüğünü gösterdi. Bu kuruluş, genel bir puan olarak 83.06 verdi ve kod denetim puanı 96 puana kadar yükseldi.
Ancak, Cetus'un resmi olarak yayımladığı 5 kod denetim raporunda yukarıda belirtilen kuruluşların denetim sonuçları yer almamaktadır. Bu 5 rapor, Cetus'un Aptos ve Sui ağlarındaki kodunu kapsayan MoveBit, OtterSec ve Zellic adlı üç profesyonel kuruluştan gelmektedir. Bu saldırının Sui ağında gerçekleşmesi nedeniyle, Sui ağı ile ilgili denetim raporlarına odaklanıyoruz.
MoveBit'in denetim raporu 28 Nisan 2023'te Github'a yüklendi. Raporda toplamda 18 risk sorunu tespit edildi; bunlar arasında 1 kritik risk, 2 önemli risk, 3 orta düzey risk ve 12 hafif risk bulunmaktadır. Dikkate değer olan, bu sorunların tamamının çözüldüğüdür.
OtterSec'in denetim raporu 12 Mayıs 2023'te yüklendi. Rapor, 1 yüksek riskli sorun, 1 orta riskli sorun ve 7 bilgilendirici risk belirtiyor. Yüksek riskli ve orta riskli sorunlar çözülmüştür, bilgilendirici risklerden 2'si çözülmüştür, 2'si düzeltme yamanızı göndermiştir, geri kalan 3'ü Sui ve Aptos sürüm kodu tutarlılığı, duraklama durumu doğrulaması ve veri türü dönüştürme gibi sorunları içermektedir.
Zellic'in denetim raporu 2023 Nisan ayında yüklendi. Raporda 3 bilgi riski tespit edildi, şu anda hiçbiri giderilmedi. Bu riskler esas olarak fonksiyon yetkilendirmesi, kod fazlalığı ve NFT gösterim veri türü seçimi gibi konularla ilgilidir, genel risk seviyesi düşüktür.
Özellikle MoveBit, OtterSec ve Zellic'in Move dilinde kod denetimi yapan kuruluşlar olduğunu belirtmek gerekir; bu, şu anda EVM denetimine odaklanan piyasada son derece önemlidir.
Son zamanlarda bazı yeni DEX projelerinin güvenlik önlemlerini gözden geçirdiğimizde, bazı eğilimler görebiliyoruz:
GMX V2, 5 şirket tarafından kod denetimi gerçekleştirilmiş ve 500.000 dolara kadar ödül programı başlatılmıştır.
DeGate, 35 şirketi denetlemek için işe aldı, açık ödül en fazla 1.11 milyon dolar olabilir.
DYDX V4, Informal Systems tarafından denetlendi ve aynı zamanda 5 milyon dolarlık bir açık ödül programı kuruldu.
Hyperliquid, kendi denetimi temelinde 1.000.000 dolarlık bir güvenlik açığı ödülü sunmaktadır.
UniversalX, iki tanınmış kurumu denetim için seçti.
GMGN, denetim raporunu açıklamamasına rağmen, tekil en yüksek 10.000 $'lık bir güvenlik açığı ödül programı başlattı.
Özetle, birden fazla kurum tarafından denetlenen Cetus gibi projelerin bile saldırıya uğrayabileceği görülmektedir. Çoklu denetimlerin yanı sıra güvenlik açığı ödül programları veya denetim yarışmaları, projelerin güvenliğini belirli bir ölçüde artırabilir. Ancak, yeni DeFi protokolleri için, giderilmemiş denetim sorunları hâlâ dikkate alınması gereken bir durumdur. Bu da, sektördeki uzmanların yeni protokollerin kod denetim durumuna neden bu kadar önem verdiğini açıklamaktadır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
17 Likes
Reward
17
8
Repost
Share
Comment
0/400
SchrodingersFOMO
· 6h ago
Denetim bu kadar yüksek, saldırıya uğrasa bile korkmuyor.
View OriginalReply0
OffchainWinner
· 7h ago
Altı açık kapatıldı ama yine de saldırıya uğradı mı?
View OriginalReply0
MetaverseLandlord
· 7h ago
Kod denetiminin ne yararı var...
View OriginalReply0
ZeroRushCaptain
· 7h ago
Denetim, zeka vergisi ödemektir.
View OriginalReply0
YieldHunter
· 7h ago
teknik olarak konuşursak... denetim puanları, getiriyi güvence altına alamıyorsanız hiçbir şey ifade etmez smh
View OriginalReply0
DeFi_Dad_Jokes
· 7h ago
Denetim ne kadar fazla olursa, açıklar o kadar fazla olur.
Cetus saldırıya uğradı, çoklu kod denetimi projeyi güvence altına alamıyor.
Cetus'a yapılan saldırı kod güvenliği denetimi üzerine düşünceleri tetikledi
Son zamanlarda, Sui ekosistemindeki merkeziyetsiz borsa Cetus saldırıya uğradı ve bu durum sektörde kod güvenlik denetimlerinin etkinliği üzerine yoğun tartışmalara yol açtı. Şu anda saldırının nedeni ve etkisi net değil, ancak öncelikle Cetus'un kod güvenlik denetim durumunu gözden geçirebiliriz.
Ünlü bir güvenlik denetim kuruluşu, Cetus'un denetim sonuçlarının yalnızca 2 hafif risk tespit ettiğini ve bunların çözüldüğünü, 9 bilgi riskinden 6'sının da çözüldüğünü gösterdi. Bu kuruluş, genel bir puan olarak 83.06 verdi ve kod denetim puanı 96 puana kadar yükseldi.
Ancak, Cetus'un resmi olarak yayımladığı 5 kod denetim raporunda yukarıda belirtilen kuruluşların denetim sonuçları yer almamaktadır. Bu 5 rapor, Cetus'un Aptos ve Sui ağlarındaki kodunu kapsayan MoveBit, OtterSec ve Zellic adlı üç profesyonel kuruluştan gelmektedir. Bu saldırının Sui ağında gerçekleşmesi nedeniyle, Sui ağı ile ilgili denetim raporlarına odaklanıyoruz.
MoveBit'in denetim raporu 28 Nisan 2023'te Github'a yüklendi. Raporda toplamda 18 risk sorunu tespit edildi; bunlar arasında 1 kritik risk, 2 önemli risk, 3 orta düzey risk ve 12 hafif risk bulunmaktadır. Dikkate değer olan, bu sorunların tamamının çözüldüğüdür.
OtterSec'in denetim raporu 12 Mayıs 2023'te yüklendi. Rapor, 1 yüksek riskli sorun, 1 orta riskli sorun ve 7 bilgilendirici risk belirtiyor. Yüksek riskli ve orta riskli sorunlar çözülmüştür, bilgilendirici risklerden 2'si çözülmüştür, 2'si düzeltme yamanızı göndermiştir, geri kalan 3'ü Sui ve Aptos sürüm kodu tutarlılığı, duraklama durumu doğrulaması ve veri türü dönüştürme gibi sorunları içermektedir.
Zellic'in denetim raporu 2023 Nisan ayında yüklendi. Raporda 3 bilgi riski tespit edildi, şu anda hiçbiri giderilmedi. Bu riskler esas olarak fonksiyon yetkilendirmesi, kod fazlalığı ve NFT gösterim veri türü seçimi gibi konularla ilgilidir, genel risk seviyesi düşüktür.
Özellikle MoveBit, OtterSec ve Zellic'in Move dilinde kod denetimi yapan kuruluşlar olduğunu belirtmek gerekir; bu, şu anda EVM denetimine odaklanan piyasada son derece önemlidir.
Son zamanlarda bazı yeni DEX projelerinin güvenlik önlemlerini gözden geçirdiğimizde, bazı eğilimler görebiliyoruz:
GMX V2, 5 şirket tarafından kod denetimi gerçekleştirilmiş ve 500.000 dolara kadar ödül programı başlatılmıştır.
DeGate, 35 şirketi denetlemek için işe aldı, açık ödül en fazla 1.11 milyon dolar olabilir.
DYDX V4, Informal Systems tarafından denetlendi ve aynı zamanda 5 milyon dolarlık bir açık ödül programı kuruldu.
Hyperliquid, kendi denetimi temelinde 1.000.000 dolarlık bir güvenlik açığı ödülü sunmaktadır.
UniversalX, iki tanınmış kurumu denetim için seçti.
GMGN, denetim raporunu açıklamamasına rağmen, tekil en yüksek 10.000 $'lık bir güvenlik açığı ödül programı başlattı.
Özetle, birden fazla kurum tarafından denetlenen Cetus gibi projelerin bile saldırıya uğrayabileceği görülmektedir. Çoklu denetimlerin yanı sıra güvenlik açığı ödül programları veya denetim yarışmaları, projelerin güvenliğini belirli bir ölçüde artırabilir. Ancak, yeni DeFi protokolleri için, giderilmemiş denetim sorunları hâlâ dikkate alınması gereken bir durumdur. Bu da, sektördeki uzmanların yeni protokollerin kod denetim durumuna neden bu kadar önem verdiğini açıklamaktadır.