بلاک چین Sui مرتبط با لیبرا باگ مهمی را برطرف می کند که میلیاردها نفر را به خطر می اندازد

به گزارش پایگاه خبری ارز دیجیتال موبو ارز،

این آسیب‌پذیری در فایل‌هایی وجود داشت که کدهای قابل خواندن توسط انسان تبدیل شده به زبان ماشین را ذخیره می‌کردند.

بر اساس اعلامیه ۱۶ مه شرکت امنیتی Zellic که برای بررسی امنیت شبکه استخدام شده بود، شبکه بلاک چین Sui بی سر و صدا اشکالی را برطرف کرده است که می تواند «میلیاردها دلار» را در معرض خطر قرار دهد.

اشکال از دست دادن صندوق Aptos و Sui

به طور خلاصه به یک اشکال از دست دادن پول ناشناس (اما ثابت) در Move Verifier که ظاهراً توسط آن کشف شده است توجه کنید. @zelic_io.

این می توانست انواع مختلفی از سوء استفاده ها را علیه پروتکل های مبتنی بر Aptos یا Sui فعال کند.

— Jasper | Neodime (@JasperCPS) ۱۱ آوریل ۲۰۲۳

این اشکال در وابستگی تأییدکننده بایت کد بود که تضمین می‌کند زبان Move قابل خواندن توسط انسان که برای ایجاد قراردادهای هوشمند در Sui استفاده می‌شود، به درستی به کد ماشین در حین استقرار رونویسی می‌شود. در این اطلاعیه آمده است که اگر این باگ برطرف نشده بود، “می توانست به مهاجم اجازه دهد چندین دارایی امنیتی را دور بزند، که به طور بالقوه منجر به آسیب مالی قابل توجهی می شود.”

بر اساس این اعلامیه، Mysten Labs، توسعه دهنده Sui، این باگ را در commit 8bddbe65 در ۳۰ مارس پس از اطلاع از وجود آن توسط Zellic برطرف کرد. این باگ ممکن است در سایر شبکه های مبتنی بر Move مانند Aptos و Starcoin نیز وجود داشته باشد. طبق گفته تیم Zellic، باگ موجود در نسخه Aptos در پچ ۱۰ آوریل برطرف شد.

در گفتگو با Cointelegraph، یکی از نمایندگان شبکه 0L مبتنی بر Move گفت که این اشکال بر نسخه‌های Move تأثیر نمی‌گذارد. در ۱۵ می، 0L یک سری آزمایش به GitHub اضافه کرد که ثابت کرد نسخه 0L قابل استفاده نیست.

Cointelegraph برای اظهار نظر با Aptos و Starcoin تماس گرفت، اما تا زمان انتشار پاسخی دریافت نکرد.

Sui، یک شبکه بلاک چین توسعه یافته توسط Mysten Labs، توسط مهندسان سابق Meta Platform تاسیس شد. این انشعابی از پروژه منبع باز Libra است که توسط متا، شرکت مادر فیس بوک ایجاد شده است. Libra در سال ۲۰۱۹ بسته شد.

برخی از توسعه دهندگان زبان قرارداد هوشمند Move را ترجیح می دهند زیرا ویژگی های امنیتی آن به ویژه برای بلاک چین مفید است. به عنوان مثال، یک توسعه‌دهنده می‌تواند یک نوع داده سفارشی مانند نوع «سکه» ایجاد کند که قابل کپی یا حذف نباشد.

مربوط: جاستین سان پس از درگیری Sui Launchpool با مدیر عامل Binance عذرخواهی کرد

مانند سایر شبکه های بلاک چین، Sui کد را به همان زبانی که به آن نوشته شده ذخیره نمی کند. در عوض، این کد را از زبان قابل خواندن توسط انسان شبکه به بایت کد قابل خواندن توسط ماشین ترجمه می کند.

هنگام انجام این ترجمه، Sui یک سری اعتبارسنجی انجام می دهد تا اطمینان حاصل کند که کد ترجمه شده ویژگی های امنیتی شبکه را نقض نمی کند. به عنوان مثال، برای جلوگیری از حذف یا کپی کردن سکه ها.

طبق پست وبلاگ توصیفی Zellic، او توسط Mysten Labs استخدام شد تا ارزیابی امنیتی این برنامه تأیید را انجام دهد. هیچ اشکالی در خود تأیید کننده یافت نشد. با این حال، ما یک اشکال در فایل “Control Flow Graph” یا “CFG” پیدا کردیم که تایید کننده ها برای انجام بسیاری از کارها از آن استفاده می کنند. همانطور که نوشته شده است، CFGها اجازه می‌دهند خطوط خاصی از کد از تأییدکننده‌ها پنهان شوند و به طور بالقوه اجازه می‌دهند کدهایی که اصول امنیت شبکه را نقض می‌کنند، ذخیره و اجرا شوند بدون اینکه دستگیر شوند.

در توضیح خود، تیم تحقیقاتی گفت واضح‌ترین روشی که می‌توانست از این آسیب‌پذیری سوء استفاده کند، استفاده وام‌گیرندگان مخرب از وام‌های فوری است. هنگامی که وام های فلش در شبکه های مبتنی بر Move پیاده سازی می شوند، پروتکل های وام معمولا دارایی هایی را برای وام گیرندگان ارسال می کنند که قابل حذف نیستند. محققان گفتند اگر وام گیرندگان بتوانند این دارایی را حذف کنند، می توانند “وام های فوری را با موفقیت اجرا کنند و مجبور به بازپرداخت وجوه قرض شده نباشند.” انواع دیگری از سوء استفاده ها ممکن است امکان پذیر باشد زیرا این آسیب پذیری اصول اولیه امنیت Move را نقض می کند. پس میگه “[placed] این شرکت امنیتی در پستی گفته است که میلیاردها دلار ممکن است به طور بالقوه در خطر باشد.

شبکه‌های مبتنی بر موبایل و اپلیکیشن‌های آنها اخیراً موضوع داغ دنیای جمع‌آوری سرمایه بوده است. صرافی غیرمتمرکز سیتوس مستقر در Suwy در ۸ مه بیش از ۶ میلیون دلار در یک دقیقه جمع آوری کرد. شرکتی که Aptos را اداره می کند نیز در جولای ۲۰۲۲ بیش از ۱۵۰ میلیون دلار جمع آوری کرد.

نویسنده: Tom Blackstone