Cetus 공격의 원인과 영향은 아직 명확하지 않습니다. 먼저 Cetus의 코드 보안 감사를 살펴보겠습니다.
일반인은 구체적인 기술을 이해할 수 없지만, 감사 요약은 이해할 수 있습니다.
➤ Certik의 감사
위의 내용을 바탕으로, Certik의 Cetus 코드 보안 감사 결과 경미한 위험은 2개만 발견되었으며, 이는 해결되었습니다. 또한, 정보 관련 위험은 9개 발견되었으며, 그중 6개는 해결되었습니다.
Certik은 전체 점수 83.06점, 코드 감사 점수 96점을 부여했습니다.
➤Cetus(SUI 체인)의 기타 감사 보고서
Cetus의 Github에는 Certik 감사 보고서를 제외하고 총 5개의 코드 감사 보고서가 있습니다. 프로젝트 담당자는 Certik 감사가 형식적인 절차라는 것을 알고 있었기 때문에 이 보고서를 포함하지 않은 것 같습니다.
Cetus는 Aptos와 SUI 체인을 모두 지원하며, 이 다섯 가지 감사 보고서는 MoveBit, OtterSec, Zellic에서 제공합니다. MoveBit과 OtterSec은 각각 Aptos와 SUI 체인에서 Cetus의 코드를 감사했으며, Zellic도 SUI 체인의 코드를 감사해야 합니다.
이번 피해자는 SUI 체인의 Cetus이기 때문에, SUI 체인의 Cetus에 대한 감사 보고서만 살펴보겠습니다.
❚ MoveBit의 감사 보고서
Github에 업로드 시간 보고: 2023-04-28
감사의 구체적인 내용을 이해하지 못하는 경우, 보고서에 나열된 각 레벨의 위험 문제 수와 해결 상태를 확인할 수 있는 이와 같은 표를 찾을 수 있습니다.
MoveBi의 Cetust에 대한 감사 보고서에는 치명적 위험 문제 1건, 주요 위험 문제 2건, 중간 위험 문제 3건, 경미한 위험 문제 12건을 포함하여 총 18건의 위험 문제가 발견되었으며, 이러한 문제는 모두 해결되었습니다.
Certik이 발견한 것보다 더 많은 문제가 있었고, Cetus는 그 모든 문제를 해결했습니다.
❚ OtterSec의 감사 보고서
Github에 업로드 시간 보고: 2023-05-12
OtterSec의 Cetus 감사 보고서에서는 고위험 문제 1건, 중간 위험 문제 1건, 그리고 정보성 위험 7건이 발견되었습니다. 보고서 표에는 위험 문제의 해결 방법이 직접적으로 나와 있지 않으므로 스크린샷은 찍지 않겠습니다.
그중 고위험 문제와 중위험 문제는 해결되었습니다. 정보 위험 문제는 2건이 해결되었고, 2건이 패치되었으며, 3건이 더 있습니다. 대략적인 검토 결과, 이 3건은 다음과 같습니다.
•Sui와 Aptos 버전 코드 간의 불일치는 유동성 풀의 가격 계산 정확도에 영향을 미칠 수 있습니다.
• 일시 중단 상태 검증 부족. 스왑 시 유동성 풀이 일시 중단 상태인지 검증되지 않습니다. 풀이 일시 중단된 경우에도 거래가 가능할 수 있습니다.
•u256 타입을 u64 타입으로 변환할 경우 값이 MAX_U64를 초과하면 오버플로가 발생하여, 대규모 거래에서 계산 오류가 발생할 수 있습니다.
이 공격이 위의 문제와 관련이 있는지는 확실하지 않습니다.
❚ Zellic의 감사 보고서
Github에 업로드 시간 보고: 2025년 4월
Cetus에 대한 Zellic의 감사 보고서는 세 가지 정보 위험을 발견했지만, 그 중 어느 것도 수정되지 않았습니다.
• 누구나 파트너 계좌에 수수료를 입금할 수 있도록 하는 기능 권한 문제가 있습니다. 이는 출금이 아닌 입금이므로 위험 부담이 없는 것으로 보입니다. 따라서 Cetus는 아직 이 문제를 해결하지 않았습니다.
• 더 이상 참조되지 않는 더 이상 사용되지 않는 함수가 있고, 코드가 중복되며, 위험이 없는 것처럼 보이지만, 코드가 충분히 표준화되지 않았습니다.
• NFT 디스플레이 데이터의 UI 렌더링 문제. 문자 유형을 사용할 수도 있었지만, Cetus는 Move 언어에서 더 복잡한 TypeName 데이터 유형을 사용했습니다. 이는 큰 문제가 아니며, Cetus는 향후 NFT를 위한 다른 기능을 개발할 가능성이 있습니다.
전반적으로 젤릭은 기본적으로 위험이 없고 코드 표준화 측면에 속하는 세 가지 오존층 하위 문제를 발견했습니다.
MoveBit, OtterSec, Zellic이라는 세 감사 기관을 기억해야 합니다. 시중에 나와 있는 대부분의 감사 기관은 EVM 감사에 능숙하며, 이 세 감사 기관은 Move 언어 코드 감사 기관입니다.
➤ 감사 및 보안 수준(새로운 DEX를 예로 들어)
우선, 감사를 받지 않은 프로젝트는 특정 러그 리스크를 안고 있습니다. 감사 비용을 지불할 의향이 없다면 장기적으로 운영할 의지가 있다고 보기 어렵습니다.
둘째, Certik 감사는 실제로 일종의 "선호 감사"입니다. 왜 "선호 감사"라고 불리는 걸까요? Certik은 Coinmarketcap과 매우 긴밀한 협력 관계를 맺고 있습니다. Coinmarketcap 프로젝트 페이지에 감사 아이콘이 있습니다. 이를 클릭하면 Certik의 내비게이션 플랫폼인 Skynet으로 이동합니다.
바이낸스 산하 플랫폼인 코인마켓캡은 서틱과 바이낸스 간의 협력 관계를 간접적으로 구축했습니다. 실제로 바이낸스와 서틱은 항상 좋은 관계를 유지해 왔기 때문에 바이낸스에 상장하려는 대부분의 프로젝트는 서틱의 감사를 받을 것입니다.
따라서 프로젝트가 Certik의 감사를 요청하는 경우 Binance에 상장되기를 원할 가능성이 높습니다.
하지만 역사적으로 Certik에서만 감사를 받은 프로젝트는 DEXX처럼 공격받을 가능성이 높습니다. ZKasino처럼 일부 프로젝트는 FUG(불량 보안 위협)를 받기도 했습니다.
물론, Certik은 다른 보안 지원도 제공합니다. 코드 감사 외에도 Certik은 웹사이트, DNS 등을 검사하고 코드 감사 외의 보안 정보를 제공합니다.
셋째, 많은 프로젝트에서는 코드 보안 감사를 수행하기 위해 하나 이상의 다른 고품질 감사 기관을 찾을 것입니다.
넷째, 전문적인 코드 감사 외에도 일부 프로젝트에서는 버그 바운티 프로그램과 감사 경연 대회를 열어 아이디어를 모으고 취약점을 제거하기도 합니다.
이번에 공격받은 제품은 DEX 제품이기 때문에, 몇 가지 새로운 DEX를 예로 들어보겠습니다.
---------------------------
✦✦✦GMX V2는 abdk, certora, dedaub, guardian, sherlock 등 5개 회사의 감사를 받았으며, 각 취약점에 대해 최대 500만 달러의 보상금을 제공하는 취약점 현상금 프로그램을 시작했습니다.
Secbit, Least Authority, Trail of Bits 등 35개 회사의 감사를 받은 ✦✦✦DeGate는 항목당 최대 111만 달러의 보상금을 지급하는 취약점 현상금 프로그램을 시작했습니다.
✦✦✦DYDX V4는 Informal Systems에서 코드 보안 감사를 받았으며, 이 회사는 또한 항목당 최대 500만 달러의 보상금을 걸고 버그 현상금 프로그램을 시작했습니다.
✦✦✦Hyperliquid는 Hyperliquid의 코드 보안 감사를 실시하고 단일 항목에 대해 최대 100만 달러의 보상을 제공하는 취약성 현상금 프로그램을 시작했습니다.
✦✦UniversalX는 각각 Certik과 SlowMist의 감사를 받습니다.
✦GMGN은 매우 특별합니다. 코드 감사 보고서가 발견되지 않았습니다. 아이템당 최대 10,000달러의 보상금을 지급하는 버그 바운티 프로그램만 운영하고 있습니다.
➤마지막에 작성
이러한 DEX의 코드 보안 감사를 검토해 보면, 세 개의 감사 기관에서 공동 감사를 받는 Cetus와 같은 DEX조차도 여전히 공격받을 수 있음을 알 수 있습니다. 버그 바운티 프로그램이나 감사 경연 대회와 함께 여러 주제에 대한 감사를 실시하는 것은 비교적 안전합니다.
그러나 일부 새로운 Defi 프로토콜의 경우 코드 감사에서 수정되지 않은 문제가 여전히 존재하기 때문에 Brother Feng은 새로운 Defi 프로토콜의 코드 감사에 특별한 주의를 기울입니다.
