Cetus遭攻擊：代碼安全審計的重要性與局限性

近日，SUI生態DEX Cetus遭受攻擊，引發了業內對代碼安全審計有效性的討論。盡管Cetus已經接受了多家機構的安全審計，但仍未能完全防範此次攻擊。這一事件凸顯了代碼安全審計的重要性，同時也暴露了其潛在的局限性。

Cetus的安全審計情況

Cetus在Github上公布了5份代碼審計報告，分別來自MoveBit、OtterSec和Zellic等專業機構。這些報告主要針對Cetus在SUI鏈上的代碼進行了審計。

MoveBit的審計報告發現了18個風險問題，包括1個致命風險、2個主要風險、3個中度風險和12個輕度風險。據報告顯示，這些問題均已得到解決。

OtterSec的審計報告指出了1個高風險問題、1個中度風險問題和7個信息性風險。其中，高風險和中度風險問題已解決，部分信息性風險仍在處理中。

Zellic的審計報告發現了3個信息性風險，主要涉及代碼規範性方面的問題，風險相對較低。

值得注意的是，這三家審計機構都是專門針對Move語言代碼進行審計的，這對於像Cetus這樣的新興公鏈項目來說尤爲重要。

代碼審計的重要性與不足

代碼審計無疑是項目安全性的重要保障。沒有經過審計的項目往往存在較高的風險。然而，即使是經過多家機構審計的項目，如Cetus，仍然可能遭受攻擊。這說明代碼審計雖然必要，但並非萬無一失。

一些頂級DeFi項目採取了更全面的安全策略：

1. GMX V2由5家公司進行代碼審計，並推出了高額漏洞賞金計劃。
2. DeGate由多達35家公司參與審計，同時設立了百萬美元級的漏洞賞金。
3. DYDX V4和Hyperliquid也都推出了大規模的漏洞賞金計劃，以補充常規審計的不足。

這些案例表明，多方位、多層次的安全措施對於提高項目安全性至關重要。

安全性提升建議

1. 多主體審計：聘請多家專業機構進行代碼審計，以獲得更全面的安全評估。
2. 漏洞賞金計劃：設立持續的漏洞賞金計劃，鼓勵白帽黑客發現潛在風險。
3. 審計競賽：組織代碼審計競賽，集思廣益，發現更多潛在漏洞。
4. 持續更新：定期進行代碼審計和安全評估，及時修復新發現的問題。
5. 關注新興技術：對於使用新技術棧（如Move語言）的項目，需要特別關注相關領域的專業審計機構。

結語

Cetus遭受攻擊的事件再次提醒我們，代碼安全審計雖然重要，但並不能完全保證項目的絕對安全。DeFi項目需要採取更加全面和持續的安全措施，包括但不限於多方審計、漏洞賞金計劃和定期安全評估。同時，投資者在參與新興DeFi項目時，也應該充分了解項目的安全措施，謹慎評估潛在風險。