Rețeaua blockchain a lui Sui a remediat în liniște o eroare care ar fi putut pune în pericol „miliarde de dolari”, potrivit unui anunț din 16 mai al Zellic, firma de securitate angajată pentru a audita securitatea rețelei.

Bug-ul depindea de verificatorul bytecode, care asigură că limbajul Move, care poate fi citit de om, utilizat pentru scrierea contractelor inteligente în Sui, este transcris corect în codul mașinii în timpul implementării. Dacă eroarea nu ar fi fost remediată, ar fi putut „permite atacatorilor să ocolească mai multe proprietăți de securitate, ceea ce duce la daune financiare potențial semnificative”, se spune în anunț.

In conformitate În urma anunțului, dezvoltatorul Sui Mysten Labs a remediat bug-ul pe 30 martie, în commit 8bddbe65, după ce Zellic i-a informat despre existența acestuia. Este posibil ca eroarea să fi fost prezentă și pe alte rețele bazate pe Move, inclusiv Aptos și Starcoin. Versiunea Aptos a erorii a fost îndepărtat cu un patch pe 10 aprilie, conform echipei lui Zellic.

Într-o conversație cu Cointelegraph, un reprezentant al rețelei 0L bazată pe Move a susținut că bug-ul nu afectează versiunea lor de Move. 15 mai, 0L agregat o suită de testare pentru GitHub-ul său, despre care spune că demonstrează că exploitul nu este posibil în versiunea 0L.

Cointelegraph a contactat Aptos și Starcoin pentru comentarii, dar nu a primit un răspuns per postare.

O rețea blockchain dezvoltată de Mysten Labs, Sui a fost fondată de foști ingineri Meta Platforms. Este o furcă a proiectului open source Libra creat de Meta, părintele Facebook. lira era închis în 2019.

Unii dezvoltatori preferă limbajul de contract inteligent al Move, deoarece caracteristicile sale de securitate beneficiază în mod specific blockchain-urilor. De exemplu, permite dezvoltatorilor să creeze tipuri de date personalizate, inclusiv un tip de „monedă” care nu poate fi copiat sau șters.

Legate de: Justin Sun își cere scuze după ce Sui LaunchPool s-a întâlnit cu CEO-ul Binance

Ca și alte rețele blockchain, Sui nu stochează codul în aceeași limbă în care este scris. În schimb, convertește acest cod din limbajul care poate fi citit de om al rețelei în bytecode care poate fi citit de mașină.

Când face această traducere, Sui execută o serie de verificări pentru a se asigura că codul tradus nu încalcă proprietățile de securitate ale rețelei. De exemplu, se asigură că monedele nu pot fi șterse sau copiate.

Potrivit postării explicative pe blog a lui Zellic, el a fost angajat de Mysten Labs pentru a efectua o evaluare de securitate a acestui program de verificare. Nu a găsit o eroare în verificatorul în sine. Cu toate acestea, a găsit o eroare în fișierul „Control Flow Chart” sau „CFG” pe care tester-ul îl folosește pentru a-și îndeplini multe dintre sarcinile sale. Datorită modului în care a fost scris, CFG-ul ar putea permite ca anumite linii de cod să fie ascunse de tester, permițând ca codul care încalcă principiile de securitate a rețelei să fie stocat și executat nedetectat.

În explicația lor, echipa a declarat că cel mai evident mod în care această vulnerabilitate ar fi putut fi exploatată este de către debitorii rău intenționați care obțin împrumuturi rapide. Când împrumutul rapid este implementat în rețelele bazate pe Move, protocolul de împrumut trimite de obicei împrumutatului un activ care nu poate fi șters. Dacă împrumutatul poate înlătura acest activ, „ar putea obține cu succes un împrumut rapid și ar putea să nu plătească fondurile împrumutate”, a spus echipa. Ar fi putut fi posibile și alte tipuri de exploatare, deoarece vulnerabilitatea a permis încălcarea principiilor de bază de securitate ale Move. Este, prin urmare, „[placed] potențial miliarde de dolari în pericol”, a declarat firma de securitate în postarea sa.

În ultimul timp, rețelele bazate pe mișcare și aplicațiile lor au făcut o sferă în lumea strângerii de fonduri. Un schimb descentralizat bazat pe Sui, numit Cetus, a strâns peste 6 milioane de dolari într-un minut pe 8 mai. Compania din spatele Aptos a strâns, de asemenea, peste 150 de milioane de dolari în iulie 2022.