Sui Blockchain, связанный с Libra, исправляет ошибку, предотвращающую риски в размере миллиардов

Сеть блокчейна Sui незаметно исправила ошибку, которая могла поставить под угрозу «миллиарды долларов», согласно заявлению от 16 мая Zellic, охранной фирмы, нанятой для аудита безопасности сети.

https://twitter.com/JasperCPS/status/1645824968540733440?ref_src=twsrc%5Etfw

Ошибка была в зависимости от верификатора байт-кода, который гарантирует, что человекочитаемый язык Move, используемый для написания смарт-контрактов на Sui, правильно транскрибируется в машинный код во время развертывания. Если бы ошибка не была исправлена, она могла бы «позволить злоумышленникам обойти несколько свойств безопасности, что привело бы к потенциально значительному финансовому ущербу», — говорится в сообщении.

Согласно объявлению, разработчик Sui Mysten Labs исправила ошибку 30 марта в коммите 8bddbe65 после того, как Zellic сообщил им о ее существовании. Ошибка могла также присутствовать в других сетях на основе Move, включая Aptos и Starcoin. По словам команды Zellic, версия ошибки Aptos была устранена с помощью патча от 10 апреля.

В разговоре с Cointelegraph представитель сети 0L на основе Move заявил, что ошибка не влияет на его версию Move.15 мая 0L добавила серию тестов на свой GitHub, которые, по его словам, доказывают, что эксплойт невозможен в версии 0L.

Коинтелеграф обратился к Aptos и Starcoin за комментариями, но не получил ответа в виде публикации.

Сеть блокчейн, разработанная Mysten Labs, Sui была основана бывшими инженерами Meta Platforms. Это ответвление проекта Libra с открытым исходным кодом, созданного компанией Meta, родителем Facebook. Libra была закрыта в 2019 году.

Некоторые разработчики предпочитают язык смарт-контрактов Move, потому что его функции безопасности особенно полезны для блокчейн. Например, он позволяет разработчикам создавать собственные типы данных, в том числе тип «монета», который нельзя скопировать или удалить.

Связанный: Джастин Сан приносит извинения после столкновений Sui LaunchPool с генеральным директором Binance

Как и другие блокчейн-сети, Sui не хранит код на том же языке, на котором он написан. Вместо этого он преобразует этот код из понятного человеку языка сети в машиночитаемый байт-код.

Выполняя этот перевод, Суи проводит серию проверок, чтобы убедиться, что переведенный код не нарушает свойства безопасности сети. Например, он гарантирует, что монеты не могут быть удалены или скопированы.

Согласно сообщению в блоге Zellic, Mysten Labs наняла его для оценки безопасности этой программы-верификатора. В самом верификаторе ошибок не обнаружено. Однако он обнаружил ошибку в файле «Control Flow Graph» или «CFG», который верификатор использует для выполнения многих своих задач. Из-за того, как она была написана, CFG может позволять скрывать определенные строки кода от верификатора, позволяя сохранять и запускать код, нарушающий принципы безопасности сети, не будучи пойманным.

В своем объяснении команда заявила, что наиболее очевидный способ использования этой уязвимости — это получение злоумышленниками мгновенных кредитов. Когда быстрые ссуды реализуются в сетях на основе Move, протокол ссуды обычно отправляет заемщику актив, который нельзя удалить. Если заемщик сможет удалить этот актив, он «может успешно взять мгновенный кредит и не погасить заемные средства», — сказали в команде. Возможны и другие типы эксплойтов, поскольку уязвимость позволяла нарушить основные принципы безопасности Move. Таким образом, это «[поставило] потенциально миллиарды долларов под угрозу», — говорится в сообщении охранной фирмы.

Сети, основанные на движении, и их приложения в последнее время произвели фурор в мире сбора средств.8 мая децентрализованная биржа Cetus на базе Sui привлекла более 6 миллионов долларов за одну минуту. Компания, стоящая за Aptos, также привлекла более 150 миллионов долларов в июле 2022 года.