SUI Ecosystem DEX #Cetus Saldırıya Uğradığında Kod Güvenlik Denetimi Gerçekten Yeterli mi? Cetus'a yapılan saldırının nedeni ve etkisi henüz belli değil ancak ilk olarak Cetus'un kod güvenliği denetimine bir göz atabiliriz. Deneyimsiz olanlar için, belirli teknolojiyi anlayamayız, ancak bu denetim özeti anlaşılabilir. ➤ Certik'in denetimi Certik'in Cetus'un kod güvenliği denetimi, çözülen yalnızca 2 küçük tehlike buldu. Ayrıca 6'sı çözülmüş 9 bilgi riski vardır. Certik, genel olarak 83.06 puan ve 96 kod denetim puanı verdi. ➤ Cetus'tan (SUI Zinciri) diğer denetim raporları Cetus'un Github'ında Certik'in denetimi hariç olmak üzere toplam 5 kod denetim raporu listelenmiştir. Proje ekibinin de Certik'in denetiminin bir formalite olduğunu bildiği tahmin ediliyor, bu nedenle bu raporu dahil etmedi. Cetus hem Aptos hem de SUI zincirlerini destekler ve 5 denetim raporu sırasıyla MoveBit, OtterSec ve Zellic'ten gelir. Bunlar arasında MoveBit ve OtterSec, Cetus'un sırasıyla Aptos ve SUI zincirlerindeki kodunu denetler ve Zellic'in de SUI zincirindeki kodu denetlemesi gerekir. Bu sefer saldırıya uğrayan SUI zincirindeki Cetus olduğu için, aşağıda sadece Cetus'un SUI zincirindeki denetim raporuna bakacağız. ❚ MoveBit'ten denetim raporu Rapor, 2023-04-28 tarihinde Github'a yüklendi Denetimin özel içeriğini anlamazsak, raporda her düzeyde listelenen risk sorunlarının sayısını ve bunların ne kadar iyi çözüldüğünü görmek için bunun gibi bir tablo bulabiliriz. MoveBi'nin Cetust hakkındaki denetim raporu, 1 ölümcül risk sorunu, 2 büyük risk sorunu, 3 orta risk sorunu ve 12 hafif risk sorunu dahil olmak üzere toplam 18 risk sorunu buldu ve bunların tümü çözüldü. Certik'in bulduğundan daha fazla sorun var ve Cetus hepsini çözdü. ❚ OtterSec'ten denetim raporu Rapor, 2023-05-12 tarihinde Github'a yüklendi OtterSec'in Cetus ile ilgili denetim raporunda toplam 1 adet yüksek riskli, 1 adet orta riskli ve 7 adet bilgilendirme riski tespit edilmiş olup, rapor tablosu risk sorununun çözümünü doğrudan göstermediği için ekran görüntüleri alınmamıştır. Bunlar arasında hem yüksek riskli hem de orta riskli sorunlar çözüldü. Bilgi riski sorunları, 2 çözüldü, 2 düzeltilmiş yama gönderildi ve 3 tane daha. Kaba bir çalışmadan sonra bu 3 tanesi şunlardır: •Sui ve Aptos sürümlerinin kodu tutarsızdır ve bu durum likidite havuzlarının fiyat hesaplamasının doğruluğunu etkileyebilir. • Duraklatılmış durum doğrulamasının olmaması, likidite havuzunun takas sırasında duraklatılmış durumda olup olmadığının doğrulanmaması. Havuz askıya alınırsa, ticaret yapmak hala mümkün olabilir. • U256 tipini U64 tipine dönüştürün, değer MAX_U64 aşarsa taşmaya neden olur, bu da büyük işlemlerde hesaplama hatalarına yol açabilir. Saldırının yukarıdaki konularla ilgili olup olmadığı belirsizdir. ❚ Zellic'ten denetim raporu Rapor, Nisan 2025'te Github'a yüklendi Zellic'in Cetus hakkındaki denetim raporu, hiçbiri sabit olmayan üç bilgi riski belirledi: • Herhangi birinin herhangi bir iş ortağı hesabına ücret yatırmak için aramasına izin veren bir işlev yetkilendirme sorunu. Riskli görünmüyor, para biriktiriyor, para çekmiyor. Yani Cetus şimdilik bunu düzeltmedi. • Kullanımdan kaldırılmış bir nesil tarafından hala başvurulan bir işlev var ve kod gereksiz, bu riskli gibi görünüyor, ancak kod yeterince kuralcı değil. • NFT görüntüleme verilerindeki kullanıcı arayüzü oluşturma sorunlarından biri karakter tabanlı olabilirdi, ancak Cetus, Move dilinde daha karmaşık TypeName veri türünü kullandı. Bu bir sorun değil ve Cetus'un gelecekte NFT'ler için başka özellikler geliştirmesi de mümkün. Genel olarak, Zellic, temelde risksiz olan ve kod spesifikasyonu yönüne ait olan 3 ozon tabakası alt sorunu buldu. Bu üç denetçiyi hatırlamalıyız: MoveBit, OtterSec, Zellic. Piyasadaki denetçilerin çoğu EVM denetimlerinde iyi olduğundan, bu üç denetçi Move dil kodu denetçilerine aittir. ➤ Denetim ve Güvenlik Seviyesi (Örnek olarak yeni DEX'i alın) Her şeyden önce, kod tarafından denetlenmemiş projeler belirli bir miktar Halı riskine tabidir. Ne de olsa, bu denetim için para ödemeye bile istekli değil ve insanların uzun süre faaliyet gösterme arzusu olduğuna inanması zor. İkincisi, Certik denetimi aslında bir tür "insan denetimi"dir. Neden bir "insan denetimi", Certik'in coinmarketcap ile çok yakın bir işbirliği var. Coinmarketcap'in proje sayfasında, sizi Certik'in navigasyon platformu skynet'e yönlendirmek için üzerine tıklayan bir denetim simgesi var. Binance'in sahip olduğu bir platform olan coinmarketcap, dolaylı olarak Certik'in Binance ile ortaklık kurmasını sağladı. Aslında, Binance ve Certik'in her zaman iyi bir ilişkisi olmuştur, bu nedenle Binance'de listelenmek isteyen çoğu proje Certik'in denetimini isteyecektir. Bu nedenle, bir proje Certik'in denetimini isterse, muhtemelen Binance'de listelenmek isteyecektir. Ancak tarih, DEXX gibi yalnızca Certik tarafından denetlenen bir projeye saldırı olasılığının düşük olmadığını göstermiştir. ZKasino gibi FUG olan projeler bile var. Tabii ki, Certik'in başka güvenlik yardımları da var, sadece kod denetimi değil, Certik web sitelerini, DNS'yi vb. tarayacak ve kod denetimi dışında bazı güvenlik bilgileri de var. Üçüncüsü, birçok proje, kod güvenliği denetimleri yapmak için 1 ~ birden fazla yüksek kaliteli denetim kuruluşu arayacaktır. Dördüncüsü, profesyonel kod denetimlerine ek olarak, bazı projeler beyin fırtınası yapmak ve güvenlik açıklarını ortadan kaldırmak için hata ödül programları ve denetim yarışmaları da yürütecektir. Bu bir DEX ürünü olduğundan, örnek olarak bazı yeni DEX'leri ele alalım: --------------------------- ✦✦✦GMX V2, abdk, certora, dedaub, guardian ve sherlock dahil olmak üzere 5 şirket tarafından yürütülen ve 5 milyon dolara kadar tek bir hata ödül programı başlatan bir kod denetimidir. DeGate, Secbit, Least Authority ve Trail of Bits'ten toplam 35 şirket kod denetimleri gerçekleştirdi ve 1.11 milyon dolara kadar tek bir hata ödül programı başlattı. ✦✦✦DYDX V4, Informal Systems tarafından yürütülen bir kod güvenlik denetimidir ve 5 milyon dolara kadar tek bir hata ödül programı başlatılmıştır. ✦✦✦HyperLiquid, HyperLiquid tarafından kod güvenlik denetimleri gerçekleştirir ve 1 milyon dolara kadar tek bir hata ödül programı başlatmıştır. ✦✦UniversalX, Certik ve başka bir uzman denetçi tarafından denetlenmektedir (resmi denetim raporu geçici olarak raflardan kaldırılmıştır) ✦GMGN, kod denetim raporu bulunmaması, yalnızca 10.000$'a kadar tek bir hata ödül programı bulunması bakımından özeldir. ➤ Sonunda yazın Bu DEX'lerin kod güvenliği denetimlerini inceledikten sonra, 3 denetçi tarafından ortaklaşa denetlenen Cetus gibi DEX'lerin bile hala saldırılara açık olduğunu görebiliriz. Güvenlik açığı ödül programları veya denetim yarışmaları ile birlikte çok aracılı denetimler, nispeten güvenli güvenlik sağlar. Bununla birlikte, bazı yeni Defi protokolleri için, kod denetiminde hala düzeltilmemiş sorunlar vardır, bu nedenle Brother Bee, yeni Defi protokollerinin kod denetimine özel önem vermektedir.