برطرف شدن باگ مهم بلاکچین سویی (Sui)
زلیک (Zellic)، شرکت امنیتی استخدام شده برای بررسی امنیت شبکه، اشکال شبکه بلاکچین سویی (Sui) را که می توانست «میلیاردها دلار» را در معرض خطر قرار دهد، برطرف کرد.
به گزارش واحد ترجمه ایران دکونومی، بر اساس اعلامیه 16 می (26 اردیبهشت) زلیک (Zellic)، شرکت امنیتی استخدام شده برای بررسی امنیت شبکه، اشکال شبکه بلاکچین سویی (Sui) را که می توانست «میلیاردها دلار» را در معرض خطر قرار دهد، برطرف کرد.
“توجه سریع به یک اشکال منتشر نشده، از دست دادن سرمایه در تأیید کننده حرکت که به نظر میرسد توسط @zellic_io پیدا شده است.
این میتوانست انواع مختلفی از اکسپلویتها را علیه پروتکلهای مبتنی بر آپتوس (Aptos) یا سویی انجام دهد.”
— جاسپر | نئودیم (@JasperCPS) 11 آوریل 2023
این اشکال در وابستگی به تأییدکننده بایت کد بود، که تضمین میکند زبان موو (Move) قابل خواندن توسط انسان که برای نوشتن قراردادهای هوشمند در سویی استفاده میشود، به درستی در کد ماشین در حین استقرار رونویسی میشود. در این اطلاعیه آمده است که اگر این باگ برطرف نمیشد، میتوانست “به مهاجمان اجازه دهد تا چندین ویژگی امنیتی را دور بزنند که منجر به خسارات مالی بالقوه قابل توجهی میشد.”
میستن لبز (Mysten Labs) در بیانیهای برای کوین تلگراف (Cointelegraph) تأیید کرد که این باگ در نسخه SUI MOVE برطرف شده است.
زلیک ادعا کرد که این اشکال ممکن است در سایر شبکههای مبتنی بر موو از جمله آپتوس و استارکوین (Starcoin) نیز وجود داشته باشد. با این حال، آنها اعلام کردند که نسخه آپتوس آن با یک پچ (patch) در تاریخ 10 آوریل به گفته تیم زلیک حذف شده است.
کوین تلگراف برای اظهار نظر با آپتوس تماس گرفت، اما پاسخی از طریق انتشار دریافت نکرد.
در گفتگو با کوین تلگراف، یکی از نمایندگان شبکه 0L مبتنی بر Move اظهار داشت که این اشکال بر نسخه Move آن تأثیر نمیگذارد. در 15 می (25 اردیبهشت)، 0L یک سری آزمایش را به گیت هاب (GitHub) خود اضافه کرد، که میگوید ثابت میکند که سوءاستفاده در نسخه 0L امکان پذیر نیست. تیم استارکوین به کوین تلگراف گفت که نسخه آنها در 5 آوریل (16 فروردین) حذف شده است.
یک شبکه بلاکچین که توسط میستن لبز توسعه یافته است، سویی توسط مهندسان سابق متا پلتفرمز (Meta Platforms) تأسیس شده است. این انشعابی از پروژه منبع باز لیبرا (Libra) است که توسط متا ایجاد شده است. لیبرا در سال 2019 (1398) تعطیل شد.
برخی از توسعهدهندگان زبان قرارداد هوشمند Move را ترجیح میدهند، زیرا ویژگیهای امنیتی آن به طور خاص به نفع زنجیرههای بلوکی است. به عنوان مثال، به توسعهدهندگان اجازه میدهد تا انواع دادههای سفارشی، از جمله نوع «کوین» را که قابل کپی یا حذف نیست، ایجاد کنند.
مانند سایر شبکههای بلاکچین، سویی کد را به همان زبانی که به آن نوشته شده، ذخیره نمیکند. در عوض، این کد را از زبان قابل خواندن توسط انسان شبکه به بایت کد قابل خواندن توسط ماشین تبدیل میکند.
در انجام این ترجمه، سویی یک سری تأیید را اجرا میکند تا مطمئن شود که کد ترجمه شده ویژگیهای امنیتی شبکه را نقض نمیکند. به عنوان مثال، تضمین میکند که کوینها نمیتوانند حذف یا کپی شوند.
با توجه به پست وبلاگ توضیحی زلیک ، توسط میستن لبز برای ارزیابی امنیتی این برنامه تأیید کننده استخدام شده است؛ در خود تأیید کننده اشکالی پیدا نکرد. با این حال، یک باگ در فایل “Control Flow Graph” یا “CFG” پیدا کرد که تأیید کننده برای انجام بسیاری از وظایف خود از آن استفاده میکند.
به دلیل نحوه نگارش آن، CFG میتواند اجازه دهد که خطوط خاصی از کد از تأییدکننده پنهان شود و به کدهایی که اصول امنیتی شبکه را نقض میکند، اجازه میدهد بدون ایرادی ذخیره و اجرا شوند.
در توضیح خود، این تیم اعلام کرد که واضحترین روشی که میتوانست از این آسیبپذیری سوءاستفاده کند، گرفتن وامهای فلش یا همان فلش لون توسط وام گیرندگان مخرب است. هنگامی که وامهای فلش در شبکههای مبتنی بر Move پیادهسازی میشوند، پروتکل وام معمولاً داراییای را برای وامگیرنده ارسال میکند که قابل حذف نیست. تیم گفت، اگر وام گیرنده بتواند این دارایی را حذف کند، “میتوانند با موفقیت یک فلش لون دریافت کنند و وجوه قرض گرفته شده را بازپرداخت نکنند.” از آنجایی که این آسیبپذیری اجازه میدهد تا اصول اولیه امنیت Move نقض شود، میتوانست انواع دیگری از سوءاستفادهها نیز امکانپذیر باشند. این شرکت امنیتی در پست خود اعلام کرد که به طور بالقوه میلیاردها دلار را در معرض خطر قرار داد.
شبکههای مبتنی بر حرکت و اپلیکیشنهای آنها اخیراً موجهایی در دنیای جمعآوری سرمایه ایجاد کردهاند. یک صرافی غیرمتمرکز مبتنی بر سویی به نام سیتوس (Cetus) در 8 می (18 اردیبهشت) بیش از 6 میلیون دلار در یک دقیقه جمعآوری کرد. شرکت پشتیبان آپتوس نیز در جولای 2022 (تیر 1401) بیش از 150 میلیون دلار جمعآوری کرد.
سلب مسئولیت: تلاش ایران دکونومی مبتنی بر ارائه محتوای مفید صرفاً جهت افزایش آگاهی مخاطب است و توصیه مالی محسوب نمیگردد.
مترجم: مهدی گچلو
ویراستار: تارا هدایتی
منبع: Cointelegraph