برطرف شدن باگ مهم بلاکچین سویی (Sui)

به گزارش واحد ترجمه ایران دکونومی، بر اساس اعلامیه 16 می (26 اردیبهشت) زلیک (Zellic)، شرکت امنیتی استخدام شده برای بررسی امنیت شبکه، اشکال شبکه بلاکچین سویی (Sui) را که می توانست «میلیاردها دلار» را در معرض خطر قرار دهد، برطرف کرد.

“توجه سریع به یک اشکال منتشر نشده، از دست دادن سرمایه در تأیید کننده حرکت که به نظر می‌رسد توسط @zellic_io پیدا شده است.
این می‌توانست انواع مختلفی از اکسپلویت‌ها را علیه پروتکل‌های مبتنی بر آپتوس (Aptos) یا سویی انجام دهد.”

— جاسپر | نئودیم (@JasperCPS) 11 آوریل 2023

این اشکال در وابستگی به تأییدکننده بایت کد بود، که تضمین می‌کند زبان موو (Move) قابل خواندن توسط انسان که برای نوشتن قراردادهای هوشمند در سویی استفاده می‌شود، به درستی در کد ماشین در حین استقرار رونویسی می‌شود. در این اطلاعیه آمده است که اگر این باگ برطرف نمی‌شد، می‌توانست “به مهاجمان اجازه دهد تا چندین ویژگی امنیتی را دور بزنند که منجر به خسارات مالی بالقوه قابل توجهی می‌شد.”

میستن لبز (Mysten Labs) در بیانیه‌ای برای کوین تلگراف (Cointelegraph) تأیید کرد که این باگ در نسخه SUI MOVE برطرف شده است.
زلیک ادعا کرد که این اشکال ممکن است در سایر شبکه‌های مبتنی بر موو از جمله آپتوس و استارکوین (Starcoin) نیز وجود داشته باشد. با این حال، آنها اعلام کردند که نسخه آپتوس آن با یک پچ (patch) در تاریخ 10 آوریل به گفته تیم زلیک حذف شده است.

کوین تلگراف برای اظهار نظر با آپتوس تماس گرفت، اما پاسخی از طریق انتشار دریافت نکرد.
در گفتگو با کوین تلگراف، یکی از نمایندگان شبکه 0L مبتنی بر Move اظهار داشت که این اشکال بر نسخه Move آن تأثیر نمی‌گذارد. در 15 می (25 اردیبهشت)، 0L یک سری آزمایش را به گیت هاب (GitHub) خود اضافه کرد، که می‌گوید ثابت می‌کند که سوءاستفاده در نسخه 0L امکان پذیر نیست. تیم استارکوین به کوین تلگراف گفت که نسخه آنها در 5 آوریل (16 فروردین) حذف شده است.
یک شبکه بلاکچین که توسط میستن لبز توسعه یافته است، سویی توسط مهندسان سابق متا پلتفرمز (Meta Platforms) تأسیس شده است. این انشعابی از پروژه منبع باز لیبرا (Libra) است که توسط متا ایجاد شده است. لیبرا در سال 2019 (1398) تعطیل شد.
برخی از توسعه‌دهندگان زبان قرارداد هوشمند Move را ترجیح می‌دهند، زیرا ویژگی‌های امنیتی آن به طور خاص به نفع زنجیره‌های بلوکی است. به عنوان مثال، به توسعه‌دهندگان اجازه می‌دهد تا انواع داده‌های سفارشی، از جمله نوع «کوین» را که قابل کپی یا حذف نیست، ایجاد کنند.

مانند سایر شبکه‌های بلاکچین، سویی کد را به همان زبانی که به آن نوشته شده، ذخیره نمی‌کند. در عوض، این کد را از زبان قابل خواندن توسط انسان شبکه به بایت کد قابل خواندن توسط ماشین تبدیل می‌کند.

در انجام این ترجمه، سویی یک سری تأیید را اجرا می‌کند تا مطمئن شود که کد ترجمه شده ویژگی‌های امنیتی شبکه را نقض نمی‌کند. به عنوان مثال، تضمین می‌کند که کوین‌ها نمی‌توانند حذف یا کپی شوند.
با توجه به پست وبلاگ توضیحی زلیک ، توسط میستن لبز برای ارزیابی امنیتی این برنامه تأیید کننده استخدام شده است؛ در خود تأیید کننده اشکالی پیدا نکرد. با این حال، یک باگ در فایل “Control Flow Graph” یا “CFG” پیدا کرد که تأیید کننده برای انجام بسیاری از وظایف خود از آن استفاده می‌کند.
به دلیل نحوه نگارش آن، CFG می‌تواند اجازه دهد که خطوط خاصی از کد از تأییدکننده پنهان شود و به کدهایی که اصول امنیتی شبکه را نقض می‌کند، اجازه می‌دهد بدون ایرادی ذخیره و اجرا شوند.

در توضیح خود، این تیم اعلام کرد که واضح‌ترین روشی که می‌توانست از این آسیب‌پذیری سوءاستفاده کند، گرفتن وام‌های فلش یا همان فلش لون توسط وام گیرندگان مخرب است. هنگامی که وام‌های فلش در شبکه‌های مبتنی بر Move پیاده‌سازی می‌شوند، پروتکل وام معمولاً دارایی‌ای را برای وام‌گیرنده ارسال می‌کند که قابل حذف نیست. تیم گفت، اگر وام گیرنده بتواند این دارایی را حذف کند، “می‌توانند با موفقیت یک فلش لون دریافت کنند و وجوه قرض گرفته شده را بازپرداخت نکنند.” از آنجایی که این آسیب‌پذیری اجازه می‌دهد تا اصول اولیه امنیت Move نقض شود، می‌توانست انواع دیگری از سوءاستفاده‌ها نیز امکان‌پذیر باشند. این شرکت امنیتی در پست خود اعلام کرد که به طور بالقوه میلیاردها دلار را در معرض خطر قرار داد.
شبکه‌های مبتنی بر حرکت و اپلیکیشن‌های آن‌ها اخیراً موج‌هایی در دنیای جمع‌آوری سرمایه ایجاد کرده‌اند. یک صرافی غیرمتمرکز مبتنی بر سویی به نام سیتوس (Cetus) در 8 می (18 اردیبهشت) بیش از 6 میلیون دلار در یک دقیقه جمع‌آوری کرد. شرکت پشتیبان آپتوس نیز در جولای 2022 (تیر 1401) بیش از 150 میلیون دلار جمع‌آوری کرد.

سلب مسئولیت: تلاش ایران دکونومی مبتنی بر ارائه محتوای مفید صرفاً جهت افزایش آگاهی مخاطب است و توصیه مالی محسوب نمی‌گردد.

مترجم:‌ مهدی گچلو

ویراستار: تارا هدایتی

منبع: Cointelegraph