審計公司 Zellic 昨晚爆料,基於 Move 語言的新興公鏈 SUI,曾存在一個能夠允許「閃電貸攻擊」,恐造成十億美元資產損失的安全漏洞,而 SUI 於今年 3 月秘密修復了該漏洞,並未對外公開。
(前情提要:Sui生態上線!值得關注的10個DeFi專案)
(背景補充:SUI啟動主網!最高衝上2美元暴漲 2000%)
今年 5 月上旬剛上線主網的新興公鏈 SUI,其代幣在當時上架各大交易所時,開盤一度衝破 $2,漲幅達 2000%,繳出不錯的成績單。但就在昨(16)日,SUI 卻爆出在 3 月時曾秘密修復區塊鏈底層漏洞,並未對外公開。
Sui 的安全漏洞,可能造成十億美元的威脅
據安全審計公司 Zellic 官方爆料,SUI 曾在今年 3 月份在未公示的情況下秘密修復了一個安全漏洞:
一個十億美元量級的 BUG:
這個漏洞打破了 Move 編程語言的核心安全屬性,並會破壞許多智能合約,例如閃電貸款(flash loans)。
A billion dollar bug:
How Zellic found and fixed a critical security vulnerability affecting all Move L1's, including Aptos, Sui, Starcoin, and 0L
This bug violated Move's core security properties and would've broken many smart contracts, e.g. flash loans!
Read more: 👇🧵 pic.twitter.com/i9rkOJzz6e
— Zellic (@zellic_io) May 16, 2023
安全漏洞發生原因?
Zellic 在其部落格中,也詳細介紹了此漏洞的產生原因:SUI 基於 Move 編程語言的移動驗證器(move verifier)本身沒有漏洞,但該驗證器的編寫方式允許攻擊者對驗證者隱藏部分代碼,因此駭客可在不被發現的情況下運行違反網路安全原則的程式碼。
Zellic 舉例,駭客最可能採用的手法便是「閃電貸攻擊」。常規來講,貸款協議通常會向借款人發送無法刪除的資產以證明債務關係,而該漏洞可以導致借款人有權限刪除該資產,這樣就無需償還所借入的資金。
此外,Zellic 還表示該漏洞對許多基於 Move 語言的區塊鏈都可造成影響,並透露,同樣使用 Move 語言的公鏈 Aptos 也曾在 4 月 10 日通過補丁修復了該漏洞。
另一家安全公司 Neodyme 的共同創辦人 Jasper 也認為,倘若該漏洞未被修復,將造成重大經濟損失:
攻擊者可以繞過多重安全防禦系統,造成潛在的重大經濟損失。
對於該消息,SUI 的開發商 Mysten Labs 並沒有過多回應,但已就此事向 Cointelegraph 致函,確認官方已修復 該漏洞。
📍相關報導📍
新興DEX|Bluefin V2 將擴展到 Sui 生態,現已推出代理人計畫
