Laut einer Ankündigung von Zellic vom 16. Mai, der Sicherheitsfirma, die mit der Prüfung der Sicherheit des Netzwerks beauftragt wurde, hat das Sui-Blockchain-Netzwerk stillschweigend einen Fehler behoben, der „Milliarden Dollar“ hätte gefährden können.
Fehler bei Geldverlust in Aptos und Sui
Kurzer Blick auf einen unveröffentlichten (aber behobenen) Fehler bei Geldverlusten in der Umzugsprüfung, der anscheinend von gefunden wurde @zellic_io.
Dies hätte viele Arten von Exploits gegen Aptos- oder Sui-basierte Protokolle ermöglicht.
— Jaspis | Neodym (@JasperCPS) 11. April 2023
Der Fehler lag in einer Abhängigkeit des Bytecode-Verifizierers, der sicherstellt, dass die für Menschen lesbare Move-Sprache, die zum Schreiben von Smart Contracts auf Sui verwendet wird, während der Bereitstellung korrekt in Maschinencode transkribiert wird. Wäre der Fehler nicht behoben worden, hätte er „Angreifern die Möglichkeit gegeben, mehrere Sicherheitseigenschaften zu umgehen, was möglicherweise zu erheblichen finanziellen Schäden geführt hätte“, heißt es in der Ankündigung.
Nach Der Ankündigung zufolge hat der Sui-Entwickler Mysten Labs den Fehler am 30. März im Commit 8bddbe65 behoben, nachdem Zellic sie über seine Existenz informiert hatte. Der Fehler könnte auch in anderen Move-basierten Netzwerken aufgetreten sein, darunter Aptos und Starcoin. Die Aptos-Version des Fehlers war eliminiert mit einem Patch am 10. April, so das Zellic-Team.
In einem Gespräch mit Cointelegraph erklärte ein Vertreter des auf Move basierenden 0L-Netzwerks, dass der Fehler seine Version von Move nicht betreffe. Am 15. Mai, 0L hinzugefügt eine Reihe von Tests auf ihrem GitHub, die angeblich beweisen, dass der Exploit auf der 0L-Version nicht möglich ist.
Cointelegraph hat Aptos und Starcoin um einen Kommentar gebeten, jedoch keine Antwort per Veröffentlichung erhalten.
Sui ist ein von Mysten Labs entwickeltes Blockchain-Netzwerk, das von ehemaligen Ingenieuren von Meta Platforms gegründet wurde. Es handelt sich um eine Abzweigung des Open-Source-Projekts Libra, das von der Facebook-Muttergesellschaft Meta erstellt wurde. Waage war 2019 geschlossen.
Einige Entwickler bevorzugen die intelligente Vertragssprache Move, da ihre Sicherheitsfunktionen speziell Blockchains zugute kommen. Es ermöglicht Entwicklern beispielsweise, benutzerdefinierte Datentypen zu erstellen, einschließlich eines „Coin“-Typs, der nicht kopiert oder gelöscht werden kann.
Verwandt: Justin Sun entschuldigt sich, nachdem Sui LaunchPool mit dem CEO von Binance aneinandergeraten ist
Wie andere Blockchain-Netzwerke speichert Sui den Code nicht in derselben Sprache, in der er geschrieben ist. Stattdessen konvertiert es diesen Code von der für Menschen lesbaren Sprache des Netzwerks in maschinenlesbaren Bytecode.
Bei dieser Übersetzung führt Sui eine Reihe von Überprüfungen durch, um sicherzustellen, dass der übersetzte Code nicht die Sicherheitseigenschaften des Netzwerks verletzt. Es stellt beispielsweise sicher, dass Coins nicht gelöscht oder kopiert werden können.
Laut dem erläuternden Blogbeitrag von Zellic wurde es von Mysten Labs beauftragt, eine Sicherheitsbewertung dieses Prüfprogramms durchzuführen. Es wurde kein Fehler im Verifizierer selbst gefunden. Es wurde jedoch ein Fehler in der „Control Flow Graph“- oder „CFG“-Datei gefunden, die der Verifizierer zur Erfüllung vieler seiner Aufgaben verwendet. Aufgrund seiner Schreibweise könnte das CFG zulassen, dass bestimmte Codezeilen vor dem Verifizierer verborgen werden, sodass Code, der gegen die Sicherheitsprinzipien des Netzwerks verstößt, gespeichert und ausgeführt werden kann, ohne dass er erwischt wird.
In seiner Erklärung erklärte das Team, dass diese Schwachstelle am offensichtlichsten dadurch ausgenutzt werden könnte, dass böswillige Kreditnehmer kurzfristige Kredite aufgenommen hätten. Wenn Flash-Kredite in Move-basierten Netzwerken implementiert werden, sendet das Kreditprotokoll dem Kreditnehmer normalerweise einen Vermögenswert, der nicht gelöscht werden kann. Wenn der Kreditnehmer diesen Vermögenswert löschen kann, könnte er „erfolgreich einen Schnellkredit aufnehmen und die geliehenen Mittel nicht zurückzahlen“, sagte das Team. Auch andere Arten von Exploits wären möglich gewesen, da die Sicherheitslücke es ermöglichte, die Grundprinzipien der Move-Sicherheit zu verletzen. Es ist daher „[placed] potenziell Milliarden von Dollar gefährdet“, erklärte das Sicherheitsunternehmen in seinem Beitrag.
Move-basierte Netzwerke und ihre Apps haben in der Fundraising-Welt in letzter Zeit für Aufsehen gesorgt. Eine in Sui ansässige dezentrale Börse namens Cetus sammelte am 8. Mai in einer Minute über 6 Millionen US-Dollar. Das Unternehmen hinter Aptos sammelte im Juli 2022 ebenfalls über 150 Millionen US-Dollar.