Cetusへの攻撃の原因と影響はまだ明らかになっていません。まずはCetusのコードセキュリティ監査を見てみましょう。

素人である私たちには、具体的な技術を理解することはできませんが、監査の概要を理解することはできます。

➤ Certikによる監査

上記の通り、CertikによるCetusのコードセキュリティ監査では、軽微なリスクは2件のみ発見され、これらは解決済みです。また、情報リスクは9件発見され、そのうち6件は解決済みです。

Certik は総合スコア 83.06、コード監査スコア 96 を付与しました。

➤Cetus（SUIチェーン）のその他の監査報告書

CetusのGithubには、Certikの監査レポートを除いて5件のコード監査レポートが掲載されています。プロジェクトオーナーはCertikの監査レポートが形式的なものに過ぎないことを理解しているため、このレポートは掲載しなかったのでしょう。

CetusはAptosチェーンとSUIチェーンの両方をサポートしており、これら5つの監査レポートはMoveBit、OtterSec、Zellicから提供されています。MoveBitとOtterSecはそれぞれAptosチェーンとSUIチェーン上のCetusのコードを監査しており、ZellicもSUIチェーン上のコードを監査する必要があります。

今回の被害者はSUIチェーン上のCetusなので、SUIチェーン上のCetusの監査レポートのみを見ていきます。

❚ MoveBitからの監査レポート

Githubへのレポートアップロード時間: 2023-04-28

具体的な監査内容がわからない場合は、レポートに記載されている各レベルのリスク問題の数とその解決状況を確認できる次のような表があります。

MoveBi の Cetust に関する監査レポートでは、致命的なリスク問題 1 件、主要なリスク問題 2 件、中程度のリスク問題 3 件、および軽微なリスク問題 12 件を含む合計 18 件のリスク問題が見つかりましたが、これらはすべて解決されました。

Certik が発見した問題以外にも多くの問題があり、Cetus はそれらをすべて修正しました。

❚ OtterSecからの監査報告書

Githubへのレポートアップロード時刻: 2023-05-12

OtterSecによるCetusの監査報告書では、高リスクの問題が1件、中リスクの問題が1件、情報リスクが7件見つかりました。報告書の表にはリスク問題の解決策が直接示されていないため、スクリーンショットは掲載しません。

このうち、高リスクの問題と中リスクの問題は解決済みです。情報リスクの問題については、2件が解決済み、2件がパッチ適用済み、さらに3件あります。大まかに調査した結果、これらの3件は以下のとおりです。

•Sui と Aptos のバージョンコード間の不一致は、流動性プールの価格計算の精度に影響を与える可能性があります。

• 停止状態の確認が不十分。スワップ取引の際、流動性プールが停止状態にあるかどうかの確認が行われません。プールが停止状態であっても、取引は継続される可能性があります。

•u256 型を u64 型に変換すると、値が MAX_U64 を超えるとオーバーフローが発生し、大規模なトランザクションで計算エラーが発生する可能性があります。

この攻撃が上記の問題に関連しているかどうかは不明です。

❚ ゼリックからの監査報告書

Githubへのレポートアップロード時間: 2025年4月

Zellic の Cetus に関する監査レポートでは、3 つの情報リスクが見つかりましたが、いずれも修正されていませんでした。

• 関数の認証に関する問題があり、誰でも任意のパートナーアカウントに手数料を入金できます。これは出金ではなく入金であるため、リスクはなさそうです。そのため、Cetusはまだ修正していません。

• 非推奨の関数がまだ参照されており、コードが冗長化されており、リスクがないように見えますが、コードが十分に標準化されていません。

• NFT表示データにおけるUIレンダリングの問題。文字型を使用することもできましたが、CetusはMove言語のより複雑なTypeNameデータ型を使用しました。これは大きな問題ではなく、Cetusは将来的にNFT向けの他の機能を開発する予定です。

全体として、Zellic 氏は 3 つのオゾン層のサブ問題を発見しましたが、これらは基本的にリスクがなく、コード標準化の側面に属しています。

MoveBit、OtterSec、Zellicという3つの監査機関を覚えておく必要があります。市場に出回っている監査機関のほとんどはEVM監査に長けており、これら3つの監査機関はMove言語のコード監査機関だからです。

➤ 監査とセキュリティレベル（新しいDEXを例に）

まず第一に、監査を受けていないプロジェクトには、一定のリスクが伴います。監査費用を負担しないのであれば、長期的な運営を望むとは到底考えられません。

第二に、 Certik監査は実際には「favor監査」の一種です。なぜ「favor監査」と呼ばれるのでしょうか？CertikはCoinmarketcapと非常に緊密に連携しています。Coinmarketcapのプロジェクトページには監査アイコンがあり、それをクリックするとCertikのナビゲーションプラットフォームSkynetにアクセスできます。

Binance傘下のプラットフォームとして、coinmarketcapは間接的にCertikとBinanceの協力関係を構築しました。実際、BinanceとCertikは常に良好な関係を築いており、Binanceへの上場を希望するほとんどのプロジェクトはCertikの監査を求めています。

したがって、プロジェクトがCertikからの監査を求める場合、Binanceへの上場を希望する可能性が高くなります。

しかし、DEXXのように、Certikのみで監査を受けたプロジェクトは攻撃を受ける可能性が高いことが歴史的に証明されています。ZKasinoのように、不正アクセス（FUG）に見舞われたプロジェクトさえあります。

もちろん、Certikはその他のセキュリティ支援も提供しています。コード監査に加えて、CertikはウェブサイトやDNSなどをスキャンし、コード監査を超えたセキュリティ情報も提供します。

3 番目に、多くのプロジェクトでは、コード セキュリティ監査を実施するために、1 つ以上の他の高品質な監査機関を求めます。

4 番目に、専門的なコード監査に加えて、バグ報奨金プログラムや監査コンテストを立ち上げてアイデアを共有し、脆弱性を排除するプロジェクトもあります。

今回攻撃を受けた製品はDEX製品なので、新しいDEXを例に挙げてみましょう。

----------------------------

✦✦✦GMX V2 は、abdk、certora、dedaub、guardian、sherlock の 5 社によって監査され、脆弱性ごとに最大 500 万ドルの報奨金が支払われる脆弱性報奨金プログラムが開始されました。

✦✦✦Secbit、Least Authority、Trail of Bitsなど35社による監査を受けたDeGateは、1件あたり最大111万ドルの報奨金を出す脆弱性報奨金プログラムを立ち上げた。

✦✦✦DYDX V4 は、Informal Systems によってコード セキュリティの監査を受けました。また、同社はアイテムごとに最大 500 万ドルの報酬を提供するバグ報奨金プログラムも開始しました。

✦✦✦Hyperliquid は、Hyperliquid によるコード セキュリティ監査を実施し、1 つの項目につき最大 100 万ドルの報酬を提供する脆弱性報奨金プログラムを開始しました。

✦✦UniversalX はそれぞれ Certik と SlowMist によって監査されています。

✦GMGNは非常に特殊です。コード監査レポートは見つかりませんでした。バグ報奨金プログラムのみで、報奨金は1件あたり最大10,000ドルです。

➤最後に書いた

これらのDEXのコードセキュリティ監査を検証した結果、Cetusのように3つの監査機関によって共同監査を受けているDEXであっても、攻撃を受ける可能性があることがわかりました。バグバウンティプログラムや監査コンペティションと組み合わせた複数主体による監査は、比較的安全です。

しかし、一部の新しい Defi プロトコルでは、コード監査で修正されていない問題がまだ残っているため、Feng 兄弟は新しい Defi プロトコルのコード監査に特別な注意を払っています。