此次 Cetus 受攻击的原因及影响暂时还不清楚，我们可以先看一下 Cetus 的代码安全审计情况。

外行咱们看不懂具体的技术，但是这个审计摘要是能看懂的。

➤Certik 的审计

来看，Certik 对 Cetus 的代码安全审计，只发现 2 个轻度危险、且已解决。还有 9 个信息性风险，6 个已解决。

Certik 给出的综合评分是 83.06，代码审计评分是 96 分。

➤Cetus 的其他审计报告 (SUI 链 )

在 Cetus 的 Github 上共列出了 5 份代码审计报告，其中不包括 Certik 的审计。估计项目方也知道，Certik 的审计就是个形式，所以没把这份报告放进来。

Cetus 同时支持 Aptos 和 SUI 链，这 5 份审计报告分别来自 MoveBit、OtterSec 和 Zellic。其中 MoveBit、OtterSec 分别对 Cetus 在 Aptos 和 SUI 链上的代码进行审计，Zellic 审计的应该也是 SUI 链上的代码。

因为此次被攻击的是 SUI 链上的 Cetus，因此下面只看 Cetus 在 SUI 链的审计报告。

❚ 来自 MoveBit 的审计报告

报告上传 Github 时间：2023-04-28

我们如果看不懂具体的审计内容，可以找到这样的表格，看看报告中列出的各个级别的风险问题的数量，和解决情况。

MoveBi 对 Cetust 的审计报告，共发现 18 个风险问题，包括 1 个致命风险问题、2 个主要风险问题、3 个中度风险问题、12 个轻度风险问题，全部已解决。

比 Certik 发现的问题要多，并且 Cetus 已经全部解决了这些问题。

❚ 来自 OtterSec 的审计报告

报告上传 Github 时间：2023-05-12

OtterSec 对 Cetus 的审计报告共发现 1 个高风险问题、1 个中度风险问题和 7 个信息性风险，因为报告的表格中没有直接显示风险问题解决情况，就不截图了。

其中，高风险问题和中度风险问题都已经解决。信息性风险问题，解决了 2 个，有 2 个提交了修复补丁，还有 3 个。大致研究了一下，这 3 个分别是：

•Sui 与 Aptos 版本代码不一致问题，可能影响流动池的价格计算准确性。•缺少暂停状态验证，在 Swap 时没有验证流动性池是否处于暂停状态。如果池子被暂停可能仍然可以交易。•将 u256 类型转换为 u64 类型，如果值超过 MAX_U64 会导致溢出，在大额交易时，可能导致计算出错。

现在不确定被攻击是否和以上问题相关。

❚ 来自 Zellic 的审计报告

报告上传 Github 时间：2025 年 4 月

Zellic 对 Cetus 的审计报告共发现 3 个信息性风险、都未修复：

• 一个函数授权问题，允许任何人调用向任何合伙伴账户里存入费用。这好像没啥风险，是存钱、又不是取钱。所以 Cetus 暂时也没去修复。

• 存在一个已弃用代仍然被引用的函数，代码冗余，貌似没啥风险，只不过代码规范性不太够。

• NFT 显示数据中的一个 UI 呈现问题，本来可以用字符型，但 Cetus 用了 Move 语言中比较复杂的 TypeName 数据类型。这不算啥问题，而且可能未来 Cetus 会给 NFT 开发其他功能。

总体上来说，Zellic 发现了 3 个臭氧层子问题，基本上没啥风险，属于代码规范性方面的。

我们要记住这三家审计机构：MoveBit、OtterSec、Zellic。因为现在市场上的审计机构多数是擅长 EVM 审计，这三家审计机构属于 Move 语言代码审计机构。

➤审计与安全级别 ( 以新 DEX 为例 )

首先，没有代码审计过的项目，是有一定 Rug 风险的。毕竟他连这个审计的钱都不愿意出，很难让人相信有长期经营的愿望。

其次，**Certik 审计，其实是一种”人情式审计”。** 为什么说是”人情式审计”呢，Certik 与 coinmarketcap 有非常紧密的合作。在 coinmarketcap 的项目页面上有一个审计图标，点击会进入 Certik 的导航平台 skynet。

CoinmarketCap 作为币安旗下的平台，间接的使 Certik 与币安建立了合作关系。事实上币安和 Certik 的关系一向不错，因此想上币安的项目大部分会寻求 Certik 的审计。

所以一个项目如果寻求 Certik 的审计，大概率想上币安。

但是，历史证明，仅由 Certik 审计的项目被攻击的概率不低，例如 DEXX。甚至有的项目已经 FUG 了，例如 ZKasino。

当然，Certik 也有其他的一些安全性帮助，不仅有代码审计，Certik 对网站、DNS 等会进行扫描，有一些代码审计以外的安全信息。

第三，不少项目会寻求 1 家~多家其他的优质审计主体进行代码安全审计。

第四，除了专业代码审计，某些项目还会开展漏洞赏金计划和审计竞争，集思广议、排除漏洞。

因为本次受攻击的是 DEX 产品，所以以一些较新的 DEX 为例：

-————————–✦✦✦GMX V2，由 abdk、certora、dedaub、guardian、sherlock 共 5 家公司进行代码审计，并推出了单项最高 500 万美元漏洞赏金计划。

✦✦✦DeGate，由 Secbit、Least Authority、Trail of Bits 共 35 家公司进行代码审计，并推出了单项最高 111 万美元漏洞赏金计划。

✦✦✦DYDX V4 由 Informal Systems 进行代码安全审计，并推出了单项最高 500 万美元漏洞赏金计划。

✦✦✦hyperliquid 由 hyperliquid 进行代码安全审计，并推出了单项最高 100 万美元漏洞赏金计划。

✦✦UniversalX 由是 Certik 和慢雾分别进行代码审计。

✦GMGN 比较特殊，没有找到代码审计报告，只有有单项最高 1 万美元的漏洞赏金计划。

➤写在最后

经过回顾这些 DEX 的代码安全审计情况，我们可以发现，即使像 Cetus 这样由 3 家审计机构共同审计的 DEX 也仍然会受到攻击。多主体审计，配合漏洞赏计划或审计竞赛，安全性相对有保障。

但是，对于一些新的 Defi 协议而言，代码审计中尚有问题没有修复，这就是为什么蜂兄格外关注新的 Defi 协议的代码审计情况。