Cetus遭受攻击事件分析：代码安全审计的重要性与局限性

近期，SUI生态中的去中心化交易所Cetus遭受攻击，引发了业界对代码安全审计有效性的讨论。本文将深入分析Cetus的代码安全审计情况，并探讨代码审计在防范安全风险方面的作用。

Cetus的代码安全审计概况

Cetus作为同时支持Aptos和SUI链的项目，其代码安全审计工作相当全面。根据公开信息，Cetus共接受了多家机构的审计，包括MoveBit、OtterSec和Zellic等专业的Move语言代码审计机构。

MoveBit的审计报告

MoveBit的审计报告显示，共发现18个风险问题，涵盖了不同级别的安全隐患。这些问题包括1个致命风险、2个主要风险、3个中度风险以及12个轻度风险。值得注意的是，Cetus团队已经全面解决了这些identified的问题。

OtterSec的审计结果

OtterSec的审计工作发现了1个高风险问题、1个中度风险问题和7个信息性风险。高风险和中度风险问题已得到解决，而信息性风险中有2个已解决，2个提交了修复补丁，还有3个待处理。这些待处理的问题涉及代码一致性、暂停状态验证和数据类型转换等方面。

Zellic的审计发现

Zellic的审计报告相对温和，仅指出3个信息性风险，主要涉及函数授权、代码冗余和数据类型选择等方面。这些问题虽然不直接影响安全性，但反映了代码规范性方面的一些问题。

代码审计的局限性

尽管Cetus接受了多家机构的审计，并且大部分identified的问题都已得到解决，但仍然无法完全避免安全事件的发生。这一现象揭示了代码审计在保障项目安全方面的局限性。

审计机构的专业性

不同于传统的EVM审计机构，MoveBit、OtterSec和Zellic等专门从事Move语言代码审计，这反映了针对特定技术栈进行专业审计的重要性。

多层次安全策略的必要性

仅仅依赖代码审计是不够的。一些领先的DeFi项目采取了更全面的安全策略，例如：

1. 多家机构联合审计
2. 实施漏洞赏金计划
3. 开展审计竞赛

这些措施有助于发现更多潜在风险，提高项目的整体安全性。

对新兴DeFi项目的启示

1. 重视代码审计：即使是简单的项目，也应该进行基本的代码审计，以展示对安全性的重视。

2. 选择专业审计机构：根据项目的技术栈选择相应的专业审计机构，确保审计的针对性和有效性。

3. 多重保障：除了代码审计，还应考虑实施漏洞赏金计划或审计竞赛，以全方位提升安全性。

4. 持续优化：即使通过了初步审计，也应该持续关注并解决新发现的安全问题。

5. 透明度：公开审计报告和安全措施，增加用户信心。

结语

Cetus事件再次提醒我们，代码安全审计虽然重要，但并非万无一失。对于DeFi项目而言，建立多层次、动态的安全防护体系至关重要。用户在参与新兴DeFi项目时，也应该全面评估项目的安全措施，而不仅仅依赖于单一的审计报告。