Skupnost Sui blockchain je tiho namestila črva, ki lahko ob grožnji visi in zgradi “milijarde dolarjev”, glede na Bi morda morda še bolj pošteno 15 obvestilo Zellic, podjetja za zaščito, ki je bilo najeto za revizijo varnosti skupnosti.
Črv za izgubo sredstev v Aptos in Sui
Takojšen poudarek na neobjavljenem (ne glede na to, ali je nameščen) črv za izgubo sredstev znotraj preveritelja stikala, za katerega se zdi, da visi, nanj je naletel @zellic_io .
To bi viselo in omogočilo številne vrste podvigov proti Aptosu ali Suiju, ki v bistvu temeljijo predvsem na protokolih.
— Jasper | Neodyme (@JasperCPS) April 11, 2022 Črv, spremenjen v odvisnosti od preverjalnika bajtne kode, ki zagotavlja, da je človeku berljiv jezik Tear, ki je dotrajan za zapisovanje svetlečih pogodb na Sui, tak, kot ga je treba prepisati v strojno kodo za interval uvajanja. Če črv zdaj ne bi bil nameščen, bi visel “napadalcem omogočil, da se izognejo nekaterim varnostnim lastnostim, kar bi povzročilo nedvomno kritično denarno škodo,” je priznano v objavi.
Po objavi, razvijalec Sui Mysten Labs je črva namestil marca 30, v objavi 8bddbe 30, potem ko jim je Zellic povedal za njegov obstoj. Črv bi morda morda moral biti dodatno nameščen v različnih omrežjih, ki v bistvu temeljijo na Tearju, vključno z Aptosom in Starcoinom. Model črva Aptos, spremenjen v izkoreninjen z popravkom aprila 11, po posadki Zellic.
V dialogu s Cointelegraphom je predstavnik skupnosti Tear, ki večinoma temelji na 0L, omenil, da črv zdaj ne vpliva na svoj model Tear. Na Would possibly maybe well possibly moreably fair 11, je 0L svojemu GitHubu dodal niz testov, za katere pravi, da dokazuje izkoriščanje zdaj očitno ni na modelu 0L.
Cointelegraph se je obrnil na Aptos in Starcoin za vlak, vendar ni prejel odgovora v glasilu.
Skupnost blockchain, ki so jo razvili Mysten Labs, Sui spremenili v večinoma temeljijo na propadajočih inženirjih Meta Platforms. To je fork misije Libra za začetni vir, ki jo je ustvaril Facebook-oče ali mati Meta. Libra spremenjena v zaprtje v 2019.
Nekateri razvijalci imajo raje jezik Tear shiny contract, ker njegovi varnostni vidiki še posebej služijo verige blokov. Na primer, dovoljuje razvijalcem izdelavo prilagojenih vrst podatkov, vključno z obrazcem »kovanca«, ki ga ni mogoče kopirati ali izbrisati.
Povezano: Justin Sun se opravičuje po spopadih Sui LaunchPool z izvršnim direktorjem Binance
Fantazijska izbrana omrežja blockchain, Sui zdaj ne shranjuje kode v identičen jezik, v katerem je napisana. Kot drugo to kodo pretvori iz človeku berljivega jezika skupnosti v strojno berljivo bajtno kodo.
Pri tem prevodu Sui izvaja zaporedje preverjanj preverite, ali prevedena koda zdaj ne krši zaščitnih lastnosti skupnosti. Zagotavlja na primer, da denarja ni mogoče izbrisati ali kopirati.
Po Zellic-jevem pojasnjevalnem spletnem dnevniku je bil spremenjen v najel Mysten Labs za popoln varnostni pregled tega programa za preverjanje. Ni razvrstil črva v samem preverjalniku. Potem pa je spet naletel na črva v datoteki »Regulate Drift Graph« ali »CFG«, ki jo preverjalec uporablja za preprečevanje številnih svojih projektov. Glede na zgodbo o strategiji, v kateri je bil spremenjen v pisno, bi CFG morda omogočil, da se očitne vrstice kode skrijejo pred preveriteljem, kar bi omogočilo, da bi se koda, ki krši varnostne koncepte skupnosti, shranila in se ognila, ne da bi nas ujeli.
V svojem pojasnilu je posadka omenila, da je v bistvu najbolj očiten način, na katerega bi se ta ranljivost morebiti morda morala izkoristiti, zlonamerni dolžniki, ki jemljejo hitra posojila. Ko se hitra posojila uporabljajo v omrežjih, ki večinoma temeljijo na Tear-ju, hipotekarni protokol posojilojemalcu običajno pošlje sredstvo, ki ga ni mogoče izbrisati. Če lahko posojilojemalec izbriše to sredstvo, bi “verjetno morda učinkovito zapravil hitro hipoteko in zdaj ne bi odplačal izposojenih sredstev,” je priznala ekipa. Druge vrste izkoriščanja bi morda morda morda dodatno visele na videz, ker je ranljivost omogočila kršitev pogostih konceptov varnosti Tear. Zato je ” nedvomno milijarde dolarjev v grožnji,« je zaščitno podjetje omenilo v svoji objavi.
Omrežja, ki v bistvu temeljijo na trganju, in njihove aplikacije v zadnjem času povzročajo valove v svetu zbiranja sredstev. Večinoma decentralizirana zamenjava, imenovana Cetus, ki temelji na Suiju, je zbrala več kot 6 milijonov dolarjev v eni minuti na Would morebiti morda dobro morebiti pošteno 8. Podjetje ob podpori Aptosa je dodatno zbralo več kot $150 milijonov v juliju 2022.
2022
