[ad_1]
根据受雇审计网络安全的安全公司 Zellic 5 月 16 日的公告,Sui 区块链网络悄悄修复了一个可能使“数十亿美元”面临风险的漏洞。
Aptos 和 Sui 中的资金损失错误
快速关注移动验证器中未发布(但已修复)的资金损失错误,该错误似乎已由 @zellic_io.
这将允许对基于 Aptos 或 Sui 的协议进行多种类型的攻击。
— 碧玉 | Neodyme (@JasperCPS) 2023 年 4 月 11 日
该错误存在于字节码验证器的依赖项中,它确保用于在 Sui 上编写智能合约的人类可读的 Move 语言在部署期间被正确转录为机器代码。 公告称,如果这个漏洞没有得到修复,它可能“允许攻击者绕过多个安全属性,导致潜在的重大经济损失”。
根据公告,Sui 开发人员 Mysten Labs 于 3 月 30 日在提交 8bddbe65 中修复了该错误,此前 Zellic 告知他们该错误的存在。 该错误可能也存在于其他基于 Move 的网络中,包括 Aptos 和 Starcoin。 据 Zellic 团队称,该漏洞的 Aptos 版本已于 4 月 10 日通过补丁消除。
在与 Cointelegraph 的对话中,来自基于 Move 的 0L 网络的代表表示,该错误不会影响其 Move 版本。 5 月 15 日,0L 在他们的 GitHub 上添加了一系列测试,证明 0L 版本无法利用该漏洞。
Cointelegraph 联系了 Aptos 和 Starcoin 征求意见,但没有收到出版物的回复。
Sui 是由 Mysten Labs 开发的区块链网络,由前 Meta Platforms 工程师创立。 它是 Facebook 母公司 Meta 创建的开源 Libra 项目的一个分支。 天秤座是 2019年停产。
一些开发人员喜欢 Move 智能合约语言,因为它的安全特性特别有利于区块链。 例如,它允许开发人员创建自定义数据类型,包括无法复制或删除的“硬币”类型。
有关的: 孙宇晨在 Sui LaunchPool 与币安 CEO 发生冲突后道歉
与其他区块链网络一样,Sui 不使用与编写代码相同的语言存储代码。相反,它将此代码从网络的人类可读语言转换为机器可读的字节码。
在进行这种翻译时,Sui 进行了一系列验证,以确保翻译后的代码不会违反网络的安全属性。 例如,它确保硬币不能被删除或复制。
根据 Zellic 的解释性博客文章,Mysten Labs 聘请它对该验证程序进行安全评估。 它没有在验证器本身中发现错误。 但是,它在验证程序用来完成其许多任务的“控制流图”或“CFG”文件中发现了一个错误。 由于它的编写方式,CFG 可以允许对验证者隐藏某些代码行,从而允许存储和运行违反网络安全原则的代码而不被捕获。
该团队在其解释中表示,该漏洞可能被利用的最明显方式是恶意借款人进行快速贷款。 在基于 Move 的网络上实施闪贷时,贷款协议通常会向借款人发送无法删除的资产。 该团队表示,如果借款人可以删除该资产,他们“就可以成功获得闪电贷,而无需偿还借入的资金”。 由于该漏洞允许违反 Move 安全的基本原则,因此也可能存在其他类型的漏洞利用。 因此,“[placed] 可能有数十亿美元的风险,”这家安全公司在其帖子中表示。
基于移动的网络及其应用程序最近在筹款界掀起了波澜。 5 月 8 日,一家名为 Cetus 的去中心化交易所在一分钟内筹集了超过 600 万美元。Aptos 背后的公司也在 2022 年 7 月筹集了超过 1.5 亿美元。
[ad_2]
Source link
