這次Cetus受攻擊的原因及影響暫時還不清楚，我們可以先看一下Cetus的程式碼安全審計狀況。

外行人咱們看不懂具體的技術，但這篇審計摘要是能看懂的。

➤Certik的審計

來看，Certik對Cetus的程式碼安全審計，只發現2個輕度危險、且已解決。還有9個資訊性風險，6個已解決。

Certik給的綜合評分是83.06，代碼審計評分是96分。

➤Cetus的其他審計報告(SUI鏈)

在Cetus的Github上共列出了5份程式碼審計報告，其中不包括Certik的審計。估計專案方也知道，Certik的審計就是一種形式，所以沒把這份報告放進來。

Cetus同時支援Aptos和SUI鏈，這5份審計報告分別來自MoveBit、OtterSec和Zellic。其中MoveBit、OtterSec分別對Cetus在Aptos和SUI鏈上的程式碼進行審計，Zellic審計的應該也是SUI鏈上的代碼。

因為這次被攻擊的是SUI鏈上的Cetus，因此下面只看Cetus在SUI鏈的審計報告。

❚ 來自MoveBit的審計報告

報告上傳Github時間：2023-04-28

我們如果看不懂具體的審計內容，可以找到這樣的表格，看看報告中列出的各個層級的風險問題的數量，和解決情況。

MoveBi對Cetust的審計報告，共發現18個風險問題，包括1個致命風險問題、2個主要風險問題、3個中度風險問題、12個輕度風險問題，全部已解決。

比Certik發現的問題還要多，並且Cetus已經全部解決了這些問題。

❚ 來自OtterSec的審計報告

報告上傳Github時間：2023-05-12

OtterSec對Cetus的審計報告共發現1個高風險問題、1個中度風險問題和7個資訊性風險，因為報告的表格中沒有直接顯示風險問題解決情況，就不截圖了。

其中，高風險問題和中度風險問題都已經解決。資訊性風險問題，解決了2個，有2個提交了修復補丁，還有3個。大致研究了一下，這3個分別是：

•Sui與Aptos版本代碼不一致問題，可能影響流動池的價格計算準確性。

•缺少暫停狀態驗證，在Swap時沒有驗證流動性池是否處於暫停狀態。如果池子被暫停可能仍然可以交易。

•將u256類型轉換為u64型，如果值超過MAX_U64會導致溢出，在大額交易時，可能導致計算出錯。

現在不確定被攻擊是否和以上問題有關。

❚ 來自Zellic的審計報告

報告上傳Github時間：2025年4月

Zellic對Cetus的審計報告共發現3個資訊風險、都未修復：

• 一個函數授權問題，允許任何人呼叫向任何合夥伴帳戶存入費用。這好像沒啥風險，是存錢、又不是拿錢。所以Cetus暫時也沒去修復。

• 存在一個已棄用代仍被引用的函數，程式碼冗餘，看似沒啥風險，只不過程式碼規範性不太夠。

• NFT顯示資料中的一個UI呈現問題，本來可以用字元型，但Cetus用了Move語言中比較複雜的TypeName資料類型。這不算啥問題，而且可能未來Cetus會給NFT開發其他功能。

整體來說，Zellic發現了3個臭氧層子問題，基本上沒啥風險，屬於代碼規範性方面的。

我們要記住這三個審計機構：MoveBit、OtterSec、Zellic。因為現在市場上的審計機構多數是擅長EVM審計，這三個審計機構屬於Move語言代碼審計機構。

➤審計與安全等級(以新DEX為例)

首先，沒有程式碼審計過的項目，是有一定Rug風險的。畢竟他連這個審計的錢都不願意出，很難讓人相信有長期經營的意願。

其次， Certik審計，其實是一種"人情式審計"。為什麼說是"人情式審計"呢，Certik與coinmarketcap有非常緊密的合作。在coinmarketcap的專案頁面上有一個審計圖標，點擊會進入Certik的導航平台skynet。

coinmarketcap作為幣安旗下的平台，間接的使Certik與幣安建立了合作關係。事實上幣安和Certik的關係一向不錯，因此想上幣安的項目大部分會尋求Certik的審計。

所以一個專案如果尋求Certik的審計，大概率想上幣安。

但是，歷史證明，僅由Certik審計的項目被攻擊的機率不低，例如DEXX。甚至有的專案已經FUG了，例如ZKasino。

當然，Certik也有其他的一些安全性幫助，不僅有代碼審計，Certik對網站、DNS等會進行掃描，有一些代碼審計以外的安全資訊。

第三，不少專案會尋求1家~多家其他的優質審計主體進行程式碼安全審計。

第四，除了專業程式碼審計，某些專案還會進行漏洞賞金計畫和審計競爭，集思廣議、排除漏洞。

因為這次受攻擊的是DEX產品，所以以一些較新的DEX為例：

---------------------------

✦✦✦GMX V2，由abdk、certora、dedaub、guardian、sherlock共5家公司進行程式碼審計，並推出了單項最高500萬美元漏洞賞金計畫。

✦✦✦DeGate，由Secbit、Least Authority、Trail of Bits共35家公司進行程式碼審計，並推出了單一最高111萬美元漏洞賞金計畫。

✦✦✦DYDX V4由Informal Systems進行程式碼安全審計，並推出了單項最高500萬美元漏洞賞金計畫。

✦✦✦hyperliquid由hyperliquid進行程式碼安全審計，並推出了單一最高100萬美元漏洞賞金計畫。

✦✦UniversalX由是Certik和慢霧分別進行程式碼審計。

✦GMGN比較特殊，沒有找到程式碼審計報告，只有有單項最高1萬美元的漏洞賞金計畫。

➤寫在最後

經過回顧這些DEX的程式碼安全審計情況，我們可以發現，即使像Cetus這樣由3家審計機構共同審計的DEX也仍然會受到攻擊。多主體審計，配合漏洞賞計畫或審計競賽，安全性相對有保障。

但是，對於一些新的Defi協議而言，代碼審計中尚有問題沒有修復，這就是為什麼蜂兄格外關注新的Defi協議的代碼審計情況。