Мережа блокчейнів Sui тихо виправила помилку, яка могла поставити під загрозу «мільярди доларів», згідно з повідомленням від Zellic, охоронної фірми, найнятої для аудиту безпеки мережі, від 16 травня.
https://twitter.com/JasperCPS/status/1645824968540733440?ref_src=twsrc%5Etfw
Помилка була в залежності від верифікатора байт-коду, який гарантує, що зрозуміла для людини мова Move, яка використовується для написання смарт-контрактів на Sui, правильно транскрибується в машинний код під час розгортання. Якби помилку не було виправлено, це могло б «дозволити зловмисникам обійти кілька властивостей безпеки, що призвело б до потенційно значних фінансових збитків», — йдеться в повідомленні.
Згідно з оголошенням, розробник Sui Mysten Labs виправив помилку 30 березня в коміті 8bddbe65 після того, як Zellic повідомив їх про її існування. Помилка також могла бути в інших мережах на основі Move, включаючи Aptos і Starcoin. За словами команди Zellic, помилку у версії Aptos було усунено за допомогою патча 10 квітня.
У розмові з Cointelegraph представник мережі 0L на основі Move заявив, що помилка не впливає на його версію Move.15 травня 0L додав серію тестів до свого GitHub, які, за його словами, доводять, що експлойт неможливий у версії 0L.
Cointelegraph звернувся до Aptos і Starcoin за коментарем, але не отримав відповіді на публікацію.
Блокчейн-мережа, розроблена Mysten Labs, Sui була заснована колишніми інженерами Meta Platforms. Це розгалуження проекту Libra з відкритим вихідним кодом, створеного компанією Meta, яка належить Facebook. Libra було закрито у 2019 році.
Деякі розробники віддають перевагу мові смарт-контрактів Move, оскільки її функції безпеки особливо корисні для блокчейнів. Наприклад, це дозволяє розробникам створювати користувацькі типи даних, у тому числі тип «монета», який неможливо скопіювати або видалити.
За темою: Джастін Сан вибачився після конфлікту Sui LaunchPool із генеральним директором Binance
Як і інші блокчейн-мережі, Sui не зберігає код тією ж мовою, якою він написаний. Замість цього він перетворює цей код із зрозумілої людині мови мережі на машиночитаний байт-код.
Виконуючи цей переклад, Sui проводить серію перевірок, щоб переконатися, що перекладений код не порушує властивості безпеки мережі. Наприклад, це гарантує, що монети неможливо видалити або скопіювати.
Відповідно до пояснювального повідомлення в блозі Zellic, його найняла Mysten Labs для проведення оцінки безпеки цієї програми верифікації. Він не знайшов помилку в самому верифікаторі. Однак він виявив помилку у файлі «Control Flow Graph» або «CFG», який верифікатор використовує для виконання багатьох своїх завдань. Через те, як він був написаний, CFG міг дозволити певні рядки коду приховувати від верифікатора, дозволяючи зберігати код, який порушує принципи безпеки мережі, і запускати його, щоб не бути спійманим.
У своєму поясненні команда заявила, що найбільш очевидним способом використання цієї вразливості є зловмисні позичальники, які брали швидкі кредити. Коли швидкі позики реалізуються в мережах на основі Move, протокол позики зазвичай надсилає позичальнику актив, який неможливо видалити. Якщо позичальник може видалити цей актив, він «може успішно взяти флеш-кредит і не повернути позичені кошти», – сказала команда. Інші типи експлойтів також могли бути можливими, оскільки вразливість дозволяла порушити основні принципи безпеки Move. Таким чином, це «[поставило під загрозу] потенційно мільярди доларів», – заявила охоронна фірма у своїй публікації.
Мережі, засновані на переміщенні, та їхні додатки останнім часом викликають хвилю у світі збору коштів. Децентралізована біржа Cetus, заснована на Sui, зібрала понад 6 мільйонів доларів за одну хвилину 8 травня. Компанія, що стоїть за Aptos, також зібрала понад 150 мільйонів доларів у липні 2022 року.
Дослідники висунули нову теорію про Сатоші Накамото, згідно з якою творець біткойна ніколи не був…
Марк Беніофф, генеральний директор американської фірми з розробки програмного забезпечення для хмарних обчислень Salesforce, вважає,…
Регулюючий орган Техаського комунального господарства прийняв правило, згідно з яким майнери біткойнів, які використовують мережу,…
Генеральний директор Tesla і мільярдер у галузі технологій Ілон Маск тепер багатший, ніж будь-коли, його…
У 2024 фінансовому році Комісія з цінних паперів і бірж Сполучених Штатів встановила новий рекорд…
Децентралізовані наукові протоколи (DeSci) — це те, де були децентралізовані фінанси (DeFi) у 2019 році…