审计公司 Zellic 昨晚爆料,基于 Move 语言的新兴公链 SUI,曾存在一个能够允许闪电贷攻击,恐造成十亿美元资产损失的安全漏洞,而 SUI 于今年 3 月秘密修复了该漏洞,并未对外公开。前情提要:Sui生态上线!值得关注的10个DeFi专案背景补充:SUI启动主网!最高冲上2美元暴涨 2000
今年 5 月上旬刚上线主网的新兴公链 SUI,其代币在当时上架各大交易所时,开盘一度冲破 2,涨幅达 2000,缴出不错的成绩单。但就在昨16日,SUI 却爆出在 3 月时曾秘密修复区块链底层漏洞,并未对外公开。
Sui 的安全漏洞,可能造成十亿美元的威胁据安全审计公司 Zellic 官方爆料,SUI 曾在今年 3 月份在未公示的情况下秘密修复了一个安全漏洞:
一个十亿美元量级的 BUG:
这个漏洞打破了 Move 编程语言的核心安全属性,并会破坏许多智能合约,例如闪电贷款flash loans。
A billion dollar bug
How Zellic found and fixed a critical security vulnerability affecting all Move L1#39s including Aptos Sui Starcoin and 0L
This bug violated Move#39s core security properties and would#39ve broken many smart contracts eg flash loans!
Read more pictwittercom/i9rkOJzz6e
mdash Zellic (@zellicio) May 16 2023
安全漏洞发生原因?Zellic 在其部落格中,也详细介绍了此漏洞的产生原因:SUI 基于 Move 编程语言的移动验证器move verifier本身没有漏洞,但该验证器的编写方式允许攻击者对验证者隐藏部分代码,因此骇客可在不被发现的情况下运行违反网路安全原则的程式码。
Zellic 举例,骇客最可能采用的手法便是闪电贷攻击。常规来讲,贷款协议通常会向借款人发送无法删除的资产以证明债务关系,而该漏洞可以导致借款人有权限删除该资产,这样就无需偿还所借入的资金。
此外,Zellic 还表示该漏洞对许多基于 Move 语言的区块链都可造成影响,并透露,同样使用 Move 语言的公链 Aptos 也曾在 4 月 10 日通过补丁修复了该漏洞。
另一家安全公司 Neodyme 的共同创办人 Jasper 也认为,倘若该漏洞未被修复,将造成重大经济损失:
攻击者可以绕过多重安全防御系统,造成潜在的重大经济损失。
http://gate.io对于该消息,SUI 的开发商 Mysten Labs 并没有过多回应,但已就此事向 Cointelegraph 致函,确认官方已修复 该漏洞。
相关报导新兴DEXBluefin V2 将扩展到 Sui 生态,现已推出代理人计画
Sui生态快速盘点》随主网上线的31个专案:DEX、Gamfi、NFT市集、借贷协议
Sui 完整介绍:发展史、代币经济、生态发展与技术性能
