Cetus遭攻击：代码安全审计的重要性与局限性

近日，SUI生态DEX Cetus遭受攻击，引发了业内对代码安全审计有效性的讨论。尽管Cetus已经接受了多家机构的安全审计，但仍未能完全防范此次攻击。这一事件凸显了代码安全审计的重要性，同时也暴露了其潜在的局限性。

Cetus的安全审计情况

Cetus在Github上公布了5份代码审计报告，分别来自MoveBit、OtterSec和Zellic等专业机构。这些报告主要针对Cetus在SUI链上的代码进行了审计。

MoveBit的审计报告发现了18个风险问题，包括1个致命风险、2个主要风险、3个中度风险和12个轻度风险。据报告显示，这些问题均已得到解决。

OtterSec的审计报告指出了1个高风险问题、1个中度风险问题和7个信息性风险。其中，高风险和中度风险问题已解决，部分信息性风险仍在处理中。

Zellic的审计报告发现了3个信息性风险，主要涉及代码规范性方面的问题，风险相对较低。

值得注意的是，这三家审计机构都是专门针对Move语言代码进行审计的，这对于像Cetus这样的新兴公链项目来说尤为重要。

代码审计的重要性与不足

代码审计无疑是项目安全性的重要保障。没有经过审计的项目往往存在较高的风险。然而，即使是经过多家机构审计的项目，如Cetus，仍然可能遭受攻击。这说明代码审计虽然必要，但并非万无一失。

一些顶级DeFi项目采取了更全面的安全策略：

1. GMX V2由5家公司进行代码审计，并推出了高额漏洞赏金计划。
2. DeGate由多达35家公司参与审计，同时设立了百万美元级的漏洞赏金。
3. DYDX V4和Hyperliquid也都推出了大规模的漏洞赏金计划，以补充常规审计的不足。

这些案例表明，多方位、多层次的安全措施对于提高项目安全性至关重要。

安全性提升建议

1. 多主体审计：聘请多家专业机构进行代码审计，以获得更全面的安全评估。
2. 漏洞赏金计划：设立持续的漏洞赏金计划，鼓励白帽黑客发现潜在风险。
3. 审计竞赛：组织代码审计竞赛，集思广益，发现更多潜在漏洞。
4. 持续更新：定期进行代码审计和安全评估，及时修复新发现的问题。
5. 关注新兴技术：对于使用新技术栈（如Move语言）的项目，需要特别关注相关领域的专业审计机构。

结语

Cetus遭受攻击的事件再次提醒我们，代码安全审计虽然重要，但并不能完全保证项目的绝对安全。DeFi项目需要采取更加全面和持续的安全措施，包括但不限于多方审计、漏洞赏金计划和定期安全评估。同时，投资者在参与新兴DeFi项目时，也应该充分了解项目的安全措施，谨慎评估潜在风险。