Мережа блокчейнів Sui тихо виправила помилку, яка могла поставити під загрозу «мільярди доларів», згідно з повідомленням від Zellic, охоронної фірми, найнятої для аудиту безпеки мережі, від 16 травня.
Loss of Funds Bug in Aptos and Sui
Quick spotlight on an unpublished (but fixed) loss-of-funds bug in the move verifier that seems to have been found by @zellic_io.
This would have allowed many types of exploits against Aptos or Sui based protocols.
— Jasper | Neodyme (@JasperCPS) April 11, 2023
Помилка була в залежності від верифікатора байт-коду, який гарантує, що зрозуміла для людини мова Move, яка використовується для написання смарт-контрактів на Sui, правильно транскрибується в машинний код під час розгортання. Якби помилку не було виправлено, це могло б «дозволити зловмисникам обійти кілька властивостей безпеки, що призвело б до потенційно значних фінансових збитків», — йдеться в повідомленні.
Згідно з оголошенням, розробник Sui Mysten Labs виправив помилку 30 березня в коміті 8bddbe65 після того, як Zellic повідомив їх про її існування. Помилка також могла бути в інших мережах на основі Move, включаючи Aptos і Starcoin. За словами команди Zellic, помилку у версії Aptos було усунено за допомогою патча 10 квітня.
У розмові з Cointelegraph представник мережі 0L на основі Move заявив, що помилка не впливає на його версію Move.15 травня 0L додав серію тестів до свого GitHub, які, за його словами, доводять, що експлойт неможливий у версії 0L.
Cointelegraph звернувся до Aptos і Starcoin за коментарем, але не отримав відповіді на публікацію.
Блокчейн-мережа, розроблена Mysten Labs, Sui була заснована колишніми інженерами Meta Platforms. Це розгалуження проекту Libra з відкритим вихідним кодом, створеного компанією Meta, яка належить Facebook. Libra було закрито у 2019 році.
Деякі розробники віддають перевагу мові смарт-контрактів Move, оскільки її функції безпеки особливо корисні для блокчейнів. Наприклад, це дозволяє розробникам створювати користувацькі типи даних, у тому числі тип «монета», який неможливо скопіювати або видалити.
За темою: Джастін Сан вибачився після конфлікту Sui LaunchPool із генеральним директором Binance
Як і інші блокчейн-мережі, Sui не зберігає код тією ж мовою, якою він написаний. Замість цього він перетворює цей код із зрозумілої людині мови мережі на машиночитаний байт-код.
Виконуючи цей переклад, Sui проводить серію перевірок, щоб переконатися, що перекладений код не порушує властивості безпеки мережі. Наприклад, це гарантує, що монети неможливо видалити або скопіювати.
Відповідно до пояснювального повідомлення в блозі Zellic, його найняла Mysten Labs для проведення оцінки безпеки цієї програми верифікації. Він не знайшов помилку в самому верифікаторі. Однак він виявив помилку у файлі «Control Flow Graph» або «CFG», який верифікатор використовує для виконання багатьох своїх завдань. Через те, як він був написаний, CFG міг дозволити певні рядки коду приховувати від верифікатора, дозволяючи зберігати код, який порушує принципи безпеки мережі, і запускати його, щоб не бути спійманим.
У своєму поясненні команда заявила, що найбільш очевидним способом використання цієї вразливості є зловмисні позичальники, які брали швидкі кредити. Коли швидкі позики реалізуються в мережах на основі Move, протокол позики зазвичай надсилає позичальнику актив, який неможливо видалити. Якщо позичальник може видалити цей актив, він «може успішно взяти флеш-кредит і не повернути позичені кошти», – сказала команда. Інші типи експлойтів також могли бути можливими, оскільки вразливість дозволяла порушити основні принципи безпеки Move. Таким чином, це «[поставило під загрозу] потенційно мільярди доларів», – заявила охоронна фірма у своїй публікації.
Мережі, засновані на переміщенні, та їхні додатки останнім часом викликають хвилю у світі збору коштів. Децентралізована біржа Cetus, заснована на Sui, зібрала понад 6 мільйонів доларів за одну хвилину 8 травня. Компанія, що стоїть за Aptos, також зібрала понад 150 мільйонів доларів у липні 2022 року.
