بر اساس اعلامیه 16 مه Zellic، شرکت امنیتی استخدام شده برای بررسی امنیت شبکه، شبکه بلاک چین Sui بی سر و صدا اشکالی را برطرف کرد که می توانست «میلیاردها دلار» را در معرض خطر قرار دهد.

این اشکال در وابستگی به تأییدکننده بایت کد بود، که تضمین می‌کند زبان Move قابل خواندن توسط انسان که برای نوشتن قراردادهای هوشمند در Sui استفاده می‌شود، به درستی به کد ماشین در حین استقرار رونویسی می‌شود. در این اطلاعیه آمده است که اگر این باگ برطرف نشده بود، می‌توانست به مهاجمان اجازه دهد چندین ویژگی امنیتی را دور بزنند که منجر به خسارات مالی بالقوه قابل توجهی می‌شد.

با توجه طبق اعلام، Mysten Labs، توسعه‌دهنده Sui، این باگ را در 30 مارس در commit 8bddbe65، پس از اطلاع Zellic از وجود آن، رفع کرد. این اشکال ممکن است در سایر شبکه‌های مبتنی بر Move از جمله Aptos و Starcoin نیز وجود داشته باشد. نسخه Aptos باگ بود حذف شده است به گفته تیم Zellic با پچ در 10 آوریل.

در گفتگو با کوین تلگراف، یکی از نمایندگان شبکه 0L مبتنی بر Move اظهار داشت که این اشکال بر نسخه Move آن تأثیر نمی گذارد. در 15 می، 0L اضافه یک سری آزمایش برای GitHub آنها، که می گوید ثابت می کند که سوء استفاده در نسخه 0L امکان پذیر نیست.

کوین تلگراف برای اظهار نظر با Aptos و Starcoin تماس گرفت اما پاسخی از طریق انتشار دریافت نکرد.

یک شبکه بلاک چین که توسط Mysten Labs توسعه یافته است، Sui توسط مهندسان سابق Meta Platforms تأسیس شده است. این یک فورک پروژه منبع باز لیبرا ایجاد شده توسط فیس بوک متا. ترازو بود در سال 2019 تعطیل شد.

برخی از توسعه‌دهندگان زبان قرارداد هوشمند Move را ترجیح می‌دهند زیرا ویژگی‌های امنیتی آن به طور خاص به نفع زنجیره‌های بلوکی است. به عنوان مثال، به توسعه‌دهندگان اجازه می‌دهد تا انواع داده‌های سفارشی، از جمله نوع «سکه» را که قابل کپی یا حذف نیست، ایجاد کنند.

مربوط: جاستین سان پس از درگیری Sui LaunchPool با مدیر عامل Binance عذرخواهی کرد

مانند سایر شبکه های بلاک چین، Sui کد را به همان زبانی که به آن نوشته شده ذخیره نمی کند. در عوض، این کد را از زبان قابل خواندن توسط انسان شبکه به بایت کد قابل خواندن توسط ماشین تبدیل می کند.

در انجام این ترجمه، Sui یک سری تأیید را اجرا می کند تا مطمئن شود کد ترجمه شده ویژگی های امنیتی شبکه را نقض نمی کند. به عنوان مثال، تضمین می کند که سکه ها نمی توانند حذف یا کپی شوند.

با توجه به پست وبلاگ توضیحی Zellic، توسط Mysten Labs برای انجام ارزیابی امنیتی این برنامه تأیید کننده استخدام شده است. در خود تأیید کننده اشکالی پیدا نکرد. با این حال، یک باگ در فایل “Control Flow Graph” یا “CFG” پیدا کرد که تأیید کننده برای انجام بسیاری از وظایف خود از آن استفاده می کند. به دلیل نحوه نگارش آن، CFG می‌تواند اجازه دهد برخی از خطوط کد از تأییدکننده پنهان شود، و به کدهایی که اصول امنیتی شبکه را نقض می‌کند، اجازه می‌دهد بدون دستگیر شدن ذخیره و اجرا شوند.

در توضیح خود، این تیم اعلام کرد که واضح‌ترین روشی که می‌توانست از این آسیب‌پذیری سوء استفاده کند، گرفتن وام‌های فلش توسط وام گیرندگان مخرب است. هنگامی که وام‌های فلش در شبکه‌های مبتنی بر Move پیاده‌سازی می‌شوند، پروتکل وام معمولاً دارایی‌ای را برای وام‌گیرنده ارسال می‌کند که قابل حذف نیست. تیم گفت، اگر وام گیرنده بتواند این دارایی را حذف کند، “می توانند با موفقیت یک وام فوری دریافت کنند و وجوه قرض گرفته شده را بازپرداخت نکنند.” از آنجایی که این آسیب‌پذیری اجازه می‌دهد تا اصول اولیه امنیت Move نقض شود، می‌توانستند انواع دیگری از سوء استفاده‌ها نیز امکان پذیر باشند. بنابراین، “[placed] به طور بالقوه میلیاردها دلار در معرض خطر است.» این شرکت امنیتی در پست خود اعلام کرد.

شبکه‌های مبتنی بر حرکت و اپلیکیشن‌های آن‌ها اخیراً موج‌هایی در دنیای جمع‌آوری سرمایه ایجاد کرده‌اند. یک صرافی غیرمتمرکز مبتنی بر Sui به نام Cetus بیش از 6 میلیون دلار جمع آوری کرد در یک دقیقه در 8 مه. شرکت پشت Aptos نیز بیش از 150 میلیون دلار جمع آوری کرد در جولای 2022