Cetus遭受攻击，代码审计真的万无一失吗？

目前Cetus遭受攻击的具体原因和影响尚不明确。让我们先来回顾一下Cetus的代码安全审计情况。

虽然我们可能不太了解具体的技术细节，但审计摘要还是能够理解的。

Cetus的代码审计情况

MoveBit的审计报告

MoveBit于2023年4月28日上传了对Cetus的审计报告。该报告共发现18个风险问题，包括1个致命风险、2个主要风险、3个中度风险和12个轻度风险。值得注意的是，这些问题全部已得到解决。

OtterSec的审计报告

OtterSec于2023年5月12日上传了审计报告。该报告发现了1个高风险问题、1个中度风险问题和7个信息性风险。高风险和中度风险问题已解决，信息性风险中有2个已解决，2个提交了修复补丁，还有3个未解决。

未解决的问题包括:

1. Sui与Aptos版本代码不一致，可能影响流动池价格计算准确性
2. 缺少暂停状态验证，可能导致暂停状态下仍可交易
3. 数据类型转换可能导致大额交易时计算错误

Zellic的审计报告

Zellic于2025年4月上传了审计报告，发现3个信息性风险，均未修复:

1. 一个授权问题，允许任何人向合伙人账户存入费用
2. 一个已弃用但仍被引用的函数，存在代码冗余
3. NFT显示数据中的一个UI呈现问题

这些问题主要涉及代码规范性，风险较低。

值得注意的是，MoveBit、OtterSec和Zellic都是专门从事Move语言代码审计的机构。

审计与安全级别

对比一些较新的DEX项目的安全措施:

• GMX V2: 5家公司审计，最高500万美元漏洞赏金
• DeGate: 35家公司审计，最高111万美元漏洞赏金
• DYDX V4: 1家公司审计，最高500万美元漏洞赏金
• Hyperliquid: 自行审计，最高100万美元漏洞赏金
• UniversalX: 2家公司审计
• GMGN: 未找到审计报告，最高1万美元漏洞赏金

结语

即使像Cetus这样经过多家机构审计的DEX项目也可能遭受攻击。多方审计配合高额漏洞赏金计划或审计竞赛，可以相对提高安全性。但对于新兴DeFi协议而言，如果审计中发现的问题未得到完全修复，仍然存在潜在风险。因此，密切关注新DeFi项目的代码审计情况非常重要。