Cetus遭受攻擊，代碼審計真的萬無一失嗎？

目前Cetus遭受攻擊的具體原因和影響尚不明確。讓我們先來回顧一下Cetus的代碼安全審計情況。

雖然我們可能不太了解具體的技術細節，但審計摘要還是能夠理解的。

Cetus的代碼審計情況

MoveBit的審計報告

MoveBit於2023年4月28日上傳了對Cetus的審計報告。該報告共發現18個風險問題，包括1個致命風險、2個主要風險、3個中度風險和12個輕度風險。值得注意的是，這些問題全部已得到解決。

OtterSec的審計報告

OtterSec於2023年5月12日上傳了審計報告。該報告發現了1個高風險問題、1個中度風險問題和7個信息性風險。高風險和中度風險問題已解決，信息性風險中有2個已解決，2個提交了修復補丁，還有3個未解決。

未解決的問題包括:

1. Sui與Aptos版本代碼不一致，可能影響流動池價格計算準確性
2. 缺少暫停狀態驗證，可能導致暫停狀態下仍可交易
3. 數據類型轉換可能導致大額交易時計算錯誤

Zellic的審計報告

Zellic於2025年4月上傳了審計報告，發現3個信息性風險，均未修復:

1. 一個授權問題，允許任何人向合夥人帳戶存入費用
2. 一個已棄用但仍被引用的函數，存在代碼冗餘
3. NFT顯示數據中的一個UI呈現問題

這些問題主要涉及代碼規範性，風險較低。

值得注意的是，MoveBit、OtterSec和Zellic都是專門從事Move語言代碼審計的機構。

審計與安全級別

對比一些較新的DEX項目的安全措施:

• GMX V2: 5家公司審計，最高500萬美元漏洞賞金
• DeGate: 35家公司審計，最高111萬美元漏洞賞金
• DYDX V4: 1家公司審計，最高500萬美元漏洞賞金
• Hyperliquid: 自行審計，最高100萬美元漏洞賞金
• UniversalX: 2家公司審計
• GMGN: 未找到審計報告，最高1萬美元漏洞賞金

結語

即使像Cetus這樣經過多家機構審計的DEX項目也可能遭受攻擊。多方審計配合高額漏洞賞金計劃或審計競賽，可以相對提高安全性。但對於新興DeFi協議而言，如果審計中發現的問題未得到完全修復，仍然存在潛在風險。因此，密切關注新DeFi項目的代碼審計情況非常重要。