Сеть блокчейн Sui тихо исправила ошибку, которая могла поставить под угрозу "миллиарды долларов", говорится в сообщении от 16 мая компании Zellic, нанятой для аудита безопасности сети.
Ошибка потери средств в Аптосе и Суи
- Джаспер | Неодим (@JasperCPS) 11 апреля 2023 г.
Быстрое освещение неопубликованной (но исправленной) ошибки потери средств в верификаторе перемещений, которая, похоже, была найдена @zellic_io.
Это позволило бы использовать многие типы эксплойтов против протоколов на базе Aptos или Sui.
Ошибка была в зависимости верификатора байткода, который гарантирует, что человекочитаемый язык Move, используемый для написания смарт-контрактов на Sui, правильно транскрибируется в машинный код при развертывании. Если бы ошибка не была исправлена, она могла бы "позволить злоумышленникам обойти множество свойств безопасности, что привело бы к потенциально значительному финансовому ущербу", говорится в сообщении.
Согласно сообщению, разработчик Sui компания Mysten Labs исправила ошибку 30 марта в коммите 8bddbe65, после того как Зеллик сообщил им о ее существовании. Ошибка могла присутствовать и в других сетях на базе Move, включая Aptos и Starcoin. Версия ошибки для Aptos была устранена исправлением 10 апреля, по словам команды Zellic.
В беседе с Cointelegraph представитель сети 0L, основанной на Move, заявил, что ошибка не затрагивает его версию Move. 15 мая 0L добавила на свой GitHub серию тестов, которые, по ее словам, доказывают, что эксплойт невозможен на версии 0L.
Cointelegraph обратился за комментариями к Aptos и Starcoin, но не получил ответа до момента публикации.
Блокчейн-сеть, разработанная компанией Mysten Labs, Sui была основана бывшими инженерами Meta Platforms. Это форк проекта с открытым исходным кодом Libra, созданного родительской компанией Facebook - Meta. Libra был закрыт в 2019 году.
Некоторые разработчики отдают предпочтение языку смарт-контрактов Move, потому что его функции безопасности особенно полезны для блокчейн. Например, он позволяет разработчикам создавать пользовательские типы данных, включая тип "монета", который нельзя скопировать или удалить.
Как и другие блокчейн-сети, Sui не хранит код на том же языке, на котором он написан. Вместо этого он преобразует код с человекочитаемого языка сети в машиночитаемый байткод.
Выполняя перевод, Суи проводит серию проверок, чтобы убедиться, что переведенный код не нарушает свойств безопасности сети. Например, он гарантирует, что монеты не могут быть удалены или скопированы.
Согласно пояснительной записи в блоге Zellic, компания была нанята Mysten Labs для проведения оценки безопасности этой программы-верификатора. Компания не обнаружила ошибки в самом верификаторе. Однако она обнаружила ошибку в файле "Control Flow Graph" или "CFG", который верификатор использует для выполнения многих своих задач. Из-за того, как он был написан, CFG мог позволить определенным строкам кода быть скрытыми от верификатора, позволяя коду, нарушающему принципы безопасности сети, храниться и выполняться, не будучи пойманным.
В своем объяснении команда заявила, что наиболее очевидным способом эксплуатации этой уязвимости могли быть злонамеренные заемщики, берущие срочные кредиты. Когда флэш-кредиты реализуются в сетях на базе Move, протокол кредитования обычно отправляет заемщику актив, который нельзя удалить. Если заемщик может удалить этот актив, он "может успешно взять флэш-кредит и не вернуть заемные средства", - заявила команда. Другие типы эксплойтов также были возможны, поскольку уязвимость позволяла нарушить основные принципы безопасности Move. Поэтому она "[подвергает] потенциальному риску миллиарды долларов", - заявила в своем сообщении компания по безопасности.
В последнее время сети, основанные на движении, и их приложения делают волны в мире фандрайзинга. Децентрализованная биржа Cetus, основанная на суи, собрала более 6 миллионов долларов за одну минуту 8 мая. Компания, стоящая за Aptos, также собрала более 150 миллионов долларов в июле 2022 года.
Источник
