Sui blockchain ağı, milyarlarca dolarlık riski ortadan kaldıran bir hatayı sessizce düzeltti. Zellic güvenlik firmasının 16 Mayıs'taki duyurusuna göre, hata düzeltildi.
Loss of Funds Bug in Aptos and Sui
— Jasper | Neodyme (@JasperCPS) April 11, 2023
Quick spotlight on an unpublished (but fixed) loss-of-funds bug in the move verifier that seems to have been found by @zellic_io.
This would have allowed many types of exploits against Aptos or Sui based protocols.
Hata, Sui'de akıllı sözleşmeler için kullanılan Move dilinin makine koduna dönüştürülmesini sağlayan bir mekanizmada bulundu. Hata giderilmeseydi, büyük mali zararlara yol açabilirdi.
Sui geliştiricisi Mysten Labs, hatayı 30 Mart'ta düzeltti. Hata, Aptos ve Starcoin gibi diğer Move tabanlı ağlarda da bulunabilir. Aptos'taki hata, 10 Nisan'da bir yama ile düzeltildi.
Move tabanlı 0L ağı, hatanın kendi versiyonlarını etkilemediğini söyledi. 15 Mayıs'ta, 0L bu tür bir saldırının mümkün olmadığını kanıtladı.
Sui, sözleşmelerinin güvenliği konusunda sıkı çalışıyor
Sui, eski Meta Platformları mühendisleri tarafından kuruldu ve Libra projesinin bir ayağıdır. Move dili, güvenlik özellikleri nedeniyle tercih edilir ve kopyalanamayan veya silinemeyen bir coin türü oluşturulmasına izin verir.
Sui, kodu insan tarafından okunabilir dilde saklamaz ve makine tarafından okunabilir hale getirir. Bu sırada, kodun ağın güvenlik özelliklerini ihlal etmediğinden emin olur.
İlginizi çekebilir: Binance CEO'su CZ'den Justin Sun'a uyarı!
Sui, kodu insan tarafından okunabilir dilde saklamaz ve makine tarafından okunabilir hale getirir. Bu sırada, kodun ağın güvenlik özelliklerini ihlal etmediğinden emin olur.
Sui bu çeviriyi yaparken, çevrilen kodun ağın güvenlik özelliklerini ihlal etmediğinden emin olmak için bir dizi doğrulama gerçekleştiriyor. Örneğin, madeni paraların silinememesini veya kopyalanamamasını sağlıyor.
Zellic, bu mekanizmanın güvenlik değerlendirmesini yapması için işe alındı. Doğrulayıcıda bir hata bulunamadı, ancak doğrulayıcının kullandığı dosyada bir hata bulundu. Bu durum, ağın güvenlik ilkelerini ihlal eden kodun saklanmasına ve çalıştırılmasına izin verebilir.
Bu güvenlik açığı, kötü niyetli borçluların flash krediler çıkarmasına izin verebilirdi. Eğer borçlu bu varlığı silebilirse, geri ödeme yapmadan kredi çıkarabilirdi. Bu güvenlik açığı, milyarlarca doları riske atıyordu.
Move tabanlı ağlar ve uygulamaları, son zamanlarda fon toplama dünyasında popüler oldu. Sui tabanlı borsa Cetus, 8 Mayıs'ta bir dakikada 6 milyon doların üzerinde para topladı. Aptos'un arkasındaki şirket de 2022 Temmuz'unda 150 milyon doların üzerinde para topladı.