Bảng tỷ giá 
Bạn đang ở:
132 
Lỗ hổng nằm trong một tệp dịch mã mà con người có thể đọc được sang ngôn ngữ máy để lưu trữ.
Mạng blockchain Sui đã lặng lẽ sửa một lỗi có thể gây rủi ro hàng tỷ đô la, theo thông báo ngày 16 tháng 5 từ Zellic, công ty bảo mật được thuê để test an ninh mạng.
Loss of Funds Bug in Aptos and Sui
— Jasper | Neodyme (@JasperCPS) April 11, 2023
Quick spotlight on an unpublished (but fixed) loss-of-funds bug in the move verifier that seems to have been found by @zellic_io.
This would have allowed many types of exploits against Aptos or Sui based protocols.
Lỗi này nằm trong phần phụ thuộc của trình xác minh mã byte, đảm bảo rằng ngôn ngữ Move mà con người có thể đọc được dùng để viết hợp đồng thông minh trên Sui được phiên mã chính xác thành mã máy trong quá trình triển khai. Thông báo cho biết nếu lỗi này không được sửa, nó có thể cho phép kẻ tấn công vượt qua nhiều thuộc tính bảo mật, dẫn đến thiệt hại tài chính đáng kể.
Theo thông báo, nhà phát triển Mysten Labs của Sui đã sửa lỗi này vào ngày 30 tháng 3, trong cam kết 8bddbe65, sau khi Zellic thông báo cho họ về sự tồn tại của nó. Lỗi này cũng có thể đã xuất hiện trong các mạng dựa trên Move khác, bao gồm Aptos và Starcoin. Phiên bản lỗi của Aptos đã được loại bỏ bằng một bản vá vào ngày 10 tháng 4, theo nhóm Zellic.
Trong một cuộc trò chuyện với Cointelegraph, một đại diện từ mạng 0L dựa trên Move đã tuyên bố rằng lỗi này không ảnh hưởng đến phiên bản Move của nó. Vào ngày 15 tháng 5, 0L đã thêm một loạt thử nghiệm vào GitHub của họ, điều này chứng tỏ việc khai thác không thể thực hiện được trên phiên bản 0L.
Cointelegraph đã liên hệ với Aptos và Starcoin để nhận xét nhưng không nhận được phản hồi khi xuất bản.
Một mạng blockchain được phát triển bởi Mysten Labs, Sui được thành lập bởi các cựu kỹ sư Nền tảng Meta. Nó là một nhánh của dự án Libra nguồn mở được tạo bởi Meta, công ty mẹ của Facebook. Libra đã ngừng hoạt động vào năm 2019.
Một số nhà phát triển ủng hộ ngôn ngữ hợp đồng thông minh Move vì các tính năng bảo mật của nó đặc biệt mang lại lợi ích cho các blockchain. Ví dụ: nó cho phép các nhà phát triển tạo các loại dữ liệu tùy chỉnh, bao gồm một loại xu không thể sao chép hoặc xóa.
Giống như các mạng blockchain khác, Sui không lưu trữ mã theo cùng ngôn ngữ mà nó được viết. Thay vào đó, nó chuyển đổi mã này từ ngôn ngữ mà con người có thể đọc được trên mạng thành mã byte có thể đọc được bằng máy.
Khi thực hiện bản dịch này, Sui chạy một loạt xác minh để đảm bảo mã được dịch không vi phạm các đặc tính bảo mật của mạng. Ví dụ: nó đảm bảo rằng tiền xu không thể bị xóa hoặc sao chép.
Theo bài đăng trên blog giải thích của Zellic, Mysten Labs đã thuê Mysten Labs để thực hiện đánh giá bảo mật cho chương trình xác minh này. Nó không tìm thấy lỗi trong chính trình xác minh. Tuy nhiên, nó đã tìm thấy một lỗi trong Tệp CFG hoặc Đồ thị luồng điều khiển mà trình xác minh sử dụng để hoàn thành nhiều nhiệm vụ của nó. Do cách nó được viết, CFG có thể cho phép ẩn một số dòng mã khỏi trình xác minh, cho phép mã vi phạm các nguyên tắc bảo mật mạng được lưu trữ và chạy mà không bị phát hiện.
Trong phần giải thích của mình, nhóm đã tuyên bố rằng cách rõ ràng nhất mà lỗ hổng này có thể bị khai thác là do những người đi vay ác ý thực hiện các khoản vay chớp nhoáng. Khi các khoản vay nhanh được triển khai trên các mạng dựa trên Move, giao thức cho vay thường gửi cho người vay một tài sản không thể bị xóa. Nhóm nghiên cứu cho biết nếu người đi vay có thể xóa tài sản này, họ có thể thực hiện thành công một khoản vay chớp nhoáng và không phải trả lại số tiền đã vay. Các loại khai thác khác cũng có thể xảy ra do lỗ hổng cho phép vi phạm các nguyên tắc cơ bản của bảo mật Move. Do đó, nó [đặt] hàng tỷ đô la có khả năng gặp rủi ro, công ty bảo mật đã nêu trong bài đăng của mình.
Các mạng dựa trên Move và các ứng dụng của họ gần đây đã tạo nên làn sóng trong thế giới gây quỹ. Nền tảng giao dịch phi tập trung dựa trên Sui có tên là Cetus đã huy động được hơn 6 triệu USD trong một phút vào ngày 8 tháng 5. Công ty đứng sau Aptos cũng đã huy động được hơn 150 triệu USD vào tháng 7 năm 2022.
Theo CoinTelegraph
|
|
Tags: Sui, Di chuyển, Aptos, 0l, Starcoin, Libra, Diem, Bug, Khai thác, Hack,
