Інцидент з атакою на DEX викликав роздуми про безпеку аудиту коду
Нещодавно відома DEX-платформа зазнала атаки, що викликало широкі обговорення в галузі щодо важливості аудиту безпеки коду. У цій статті буде детально проаналізовано ситуацію з аудитом безпеки цієї платформи та обговорено сучасні заходи безпеки проектів DEX.
Стан безпеки платформи, що зазнала атаки
Ця платформа раніше приймала кодові аудити кількох установ, включаючи одну відому компанію з безпеки та кілька професійних аудиторських організацій Move.
Аудит, проведений відомою компанією з безпеки, показав, що виявлено лише 2 незначні ризики та 9 інформаційних ризиків, більшість з яких вже вирішено. Загальний бал, наданий компанією, становить 83,06 бали, а оцінка аудиту коду досягає 96 балів.
Крім того, ця платформа також оприлюднила звіти від інших трьох аудиторських компаній:
Перша аудиторська компанія виявила 18 ризикових проблем, включаючи 1 критичний ризик, 2 суттєвих ризики, 3 помірних ризики та 12 незначних ризиків. Звіт показує, що всі проблеми були вирішені.
Другий аудитор знайшов 1 високо ризиковану проблему, 1 помірно ризиковану проблему та 7 інформаційних ризиків. Високо ризиковані та помірно ризиковані проблеми були вирішені, частина інформаційних ризиків все ще обробляється.
Третя аудиторська організація виявила 3 інформаційні ризики, які в основному стосуються нормативності коду, серйозних загроз безпеці не виявлено.
Незважаючи на багаторазові аудити, платформа все ще постраждала від атак, що викликало сумніви в ефективності аудиту коду.
Порівняння заходів безпеки основних DEX
Щоб краще зрозуміти заходи безпеки DEX-проектів, ми порівняли підходи кількох відомих DEX.
Декілька DEX V2: найняли 5 компаній для проведення аудиту коду та запустили програму винагород за вразливості на суму до 5 мільйонів доларів.
Інша DEX: код був перевірений трьома компаніями, запроваджено програму винагороди за вразливості до 1,11 мільйона доларів.
Третій DEX V4: компанія проводить аудит коду, в рамках програми винагороди за вразливості до 5 мільйонів доларів.
Четвертий DEX: самостійний аудит коду, запуск програми винагороди за вразливості до 1 мільйона доларів.
Є також DEX: дві компанії проводять аудит коду.
Останній DEX: не опубліковано звіт про аудит, але є програма винагороди за вразливості до 10000 доларів.
Важливість та обмеження безпекового аудиту
Аналіз показує, що навіть проекти, які підлягали аудитам кількома організаціями, можуть зазнати атак. Це свідчить про те, що аудит коду, хоча і важливий, не є непомильним.
Для нових DeFi-протоколів особливо важливо звернути увагу на стан їхнього кодового аудиту та невирішені проблеми безпеки. Спільний аудит кількох установ, в поєднанні з програмами винагород за вразливості або конкурсами аудиту, можуть певною мірою підвищити безпеку проекту.
Однак аудит коду не може повністю усунути ризики безпеки. Команда проекту повинна постійно звертати увагу на вдосконалення заходів безпеки, а користувачі також повинні бути пильними і обережно брати участь у нових проектах.
В цілому, аудит коду є важливим елементом забезпечення безпеки проєкту, але не слід надмірно на нього покладатися. Важливо створити комплексну систему безпеки, що включає постійний перегляд коду, програми винагороди за вразливості, формування команди безпеки тощо, адже це є ключем до забезпечення довгострокової безпеки роботи проєкту.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
11 лайків
Нагородити
11
3
Репост
Поділіться
Прокоментувати
0/400
ponzi_poet
· 3год тому
Аудит — це просто показуха.
Переглянути оригіналвідповісти на0
SoliditySlayer
· 3год тому
Аудит вже пройшов, а проблеми все ще виникають. Смішно.
Переглянути оригіналвідповісти на0
LongTermDreamer
· 3год тому
Блокчейн три роки досвіду, знову мене обдурили, я втратив гроші, мені дуже важко, якщо не втрачаєш гроші, не отримуєш досвіду, я це розумію.
Інциденти атак DEX викликали роздуми щодо аудиту коду. Порівняння заходів безпеки та аналіз їхніх обмежень.
Інцидент з атакою на DEX викликав роздуми про безпеку аудиту коду
Нещодавно відома DEX-платформа зазнала атаки, що викликало широкі обговорення в галузі щодо важливості аудиту безпеки коду. У цій статті буде детально проаналізовано ситуацію з аудитом безпеки цієї платформи та обговорено сучасні заходи безпеки проектів DEX.
Стан безпеки платформи, що зазнала атаки
Ця платформа раніше приймала кодові аудити кількох установ, включаючи одну відому компанію з безпеки та кілька професійних аудиторських організацій Move.
Аудит, проведений відомою компанією з безпеки, показав, що виявлено лише 2 незначні ризики та 9 інформаційних ризиків, більшість з яких вже вирішено. Загальний бал, наданий компанією, становить 83,06 бали, а оцінка аудиту коду досягає 96 балів.
Крім того, ця платформа також оприлюднила звіти від інших трьох аудиторських компаній:
Перша аудиторська компанія виявила 18 ризикових проблем, включаючи 1 критичний ризик, 2 суттєвих ризики, 3 помірних ризики та 12 незначних ризиків. Звіт показує, що всі проблеми були вирішені.
Другий аудитор знайшов 1 високо ризиковану проблему, 1 помірно ризиковану проблему та 7 інформаційних ризиків. Високо ризиковані та помірно ризиковані проблеми були вирішені, частина інформаційних ризиків все ще обробляється.
Третя аудиторська організація виявила 3 інформаційні ризики, які в основному стосуються нормативності коду, серйозних загроз безпеці не виявлено.
Незважаючи на багаторазові аудити, платформа все ще постраждала від атак, що викликало сумніви в ефективності аудиту коду.
Порівняння заходів безпеки основних DEX
Щоб краще зрозуміти заходи безпеки DEX-проектів, ми порівняли підходи кількох відомих DEX.
Декілька DEX V2: найняли 5 компаній для проведення аудиту коду та запустили програму винагород за вразливості на суму до 5 мільйонів доларів.
Інша DEX: код був перевірений трьома компаніями, запроваджено програму винагороди за вразливості до 1,11 мільйона доларів.
Третій DEX V4: компанія проводить аудит коду, в рамках програми винагороди за вразливості до 5 мільйонів доларів.
Четвертий DEX: самостійний аудит коду, запуск програми винагороди за вразливості до 1 мільйона доларів.
Є також DEX: дві компанії проводять аудит коду.
Останній DEX: не опубліковано звіт про аудит, але є програма винагороди за вразливості до 10000 доларів.
Важливість та обмеження безпекового аудиту
Аналіз показує, що навіть проекти, які підлягали аудитам кількома організаціями, можуть зазнати атак. Це свідчить про те, що аудит коду, хоча і важливий, не є непомильним.
Для нових DeFi-протоколів особливо важливо звернути увагу на стан їхнього кодового аудиту та невирішені проблеми безпеки. Спільний аудит кількох установ, в поєднанні з програмами винагород за вразливості або конкурсами аудиту, можуть певною мірою підвищити безпеку проекту.
Однак аудит коду не може повністю усунути ризики безпеки. Команда проекту повинна постійно звертати увагу на вдосконалення заходів безпеки, а користувачі також повинні бути пильними і обережно брати участь у нових проектах.
В цілому, аудит коду є важливим елементом забезпечення безпеки проєкту, але не слід надмірно на нього покладатися. Важливо створити комплексну систему безпеки, що включає постійний перегляд коду, програми винагороди за вразливості, формування команди безпеки тощо, адже це є ключем до забезпечення довгострокової безпеки роботи проєкту.