Lỗ hổng nằm trong một tệp dịch mã mà con người có thể đọc được sang ngôn ngữ máy để lưu trữ.
Theo thông báo ngày 16 tháng 5 từ Zellic, công ty bảo mật được thuê để kiểm tra tính bảo mật của mạng, mạng chuỗi khối Sui đã lặng lẽ sửa một lỗi có thể gây rủi ro cho “hàng tỷ đô la”.
Lỗi này phụ thuộc vào trình xác minh mã byte, đảm bảo rằng ngôn ngữ Move mà con người có thể đọc được sử dụng để viết các hợp đồng thông minh trên Sui được phiên mã chính xác thành mã máy trong quá trình triển khai. Thông báo cho biết nếu lỗi không được sửa, nó có thể “cho phép kẻ tấn công vượt qua nhiều thuộc tính bảo mật, dẫn đến thiệt hại tài chính đáng kể”.
Trong một tuyên bố với Cointelegraph, Mysten Labs đã xác nhận rằng lỗi đã được sửa trong phiên bản SUI của MOVE.
Zellic tuyên bố rằng lỗi này cũng có thể đã xuất hiện trong các mạng dựa trên Move khác, bao gồm Aptos và Starcoin. Tuy nhiên, họ tuyên bố rằng phiên bản Aptos của nó đã bị loại bỏ với một bản vá vào ngày 10 tháng 4, theo nhóm Zellic.
Cointelegraph đã liên hệ với Aptos để bình luận nhưng không nhận được phản hồi khi xuất bản.
Trong một cuộc trò chuyện với Cointelegraph, một đại diện từ mạng 0L dựa trên Move đã tuyên bố rằng lỗi này không ảnh hưởng đến phiên bản Move của nó. Vào ngày 15 tháng 5, 0L đã thêm một loạt thử nghiệm vào GitHub của họ, điều này chứng minh rằng việc khai thác không thể thực hiện được trên phiên bản 0L. Nhóm Starcoin nói với Cointelegraph rằng phiên bản của họ đã bị loại bỏ vào ngày 5 tháng 4.
Một mạng blockchain được phát triển bởi Mysten Labs, Sui được thành lập bởi các cựu kỹ sư Meta Platforms. Đó là một nhánh của dự án Libra nguồn mở được tạo bởi Meta, công ty mẹ của Facebook. Libra là đóng cửa vào năm 2019 .
Một số nhà phát triển ủng hộ ngôn ngữ hợp đồng thông minh Move vì các tính năng bảo mật của nó đặc biệt có lợi cho các chuỗi khối. Ví dụ: nó cho phép các nhà phát triển tạo các loại dữ liệu tùy chỉnh, bao gồm loại “đồng xu” không thể sao chép hoặc xóa.
Giống như các mạng blockchain khác, Sui không lưu trữ mã bằng cùng ngôn ngữ mà nó được viết. Thay vào đó, nó chuyển đổi mã này từ ngôn ngữ con người có thể đọc được của mạng thành mã byte có thể đọc được bằng máy.
Khi thực hiện bản dịch này, Sui chạy một loạt xác minh để đảm bảo mã được dịch không vi phạm các thuộc tính bảo mật của mạng. Ví dụ: nó đảm bảo rằng tiền xu không thể bị xóa hoặc sao chép.
Theo bài đăng trên blog giải thích của Zellic, Mysten Labs đã thuê nó để thực hiện đánh giá bảo mật cho chương trình xác minh này. Nó không tìm thấy lỗi trong chính trình xác minh. Tuy nhiên, nó đã tìm thấy một lỗi trong tệp “Control Flow Graph” hoặc “CFG” mà trình xác minh sử dụng để hoàn thành nhiều nhiệm vụ của nó. Do cách nó được viết, CFG có thể cho phép ẩn một số dòng mã khỏi trình xác minh, cho phép mã vi phạm các nguyên tắc bảo mật của mạng được lưu trữ và chạy mà không bị bắt.
Trong phần giải thích của mình, nhóm đã tuyên bố rằng cách rõ ràng nhất mà lỗ hổng này có thể bị khai thác là do những người đi vay ác ý thực hiện các khoản vay chớp nhoáng. Khi các khoản vay nhanh được triển khai trên các mạng dựa trên Move, giao thức cho vay thường gửi cho người vay một tài sản không thể bị xóa. Nhóm nghiên cứu cho biết nếu người vay có thể xóa tài sản này, thì họ “có thể vay thành công một khoản vay chớp nhoáng và không phải trả lại số tiền đã vay”. Các loại khai thác khác cũng có thể xảy ra do lỗ hổng cho phép vi phạm các nguyên tắc cơ bản của bảo mật Move. Do đó, “[đặt] hàng tỷ đô la có khả năng gặp rủi ro,” công ty bảo mật cho biết trong bài đăng của mình.
Gần đây, các mạng dựa trên chuyển động và các ứng dụng của chúng đã tạo nên làn sóng trong thế giới gây quỹ. Một sàn giao dịch phi tập trung dựa trên Sui có tên là Cetus đã huy động được hơn 6 triệu đô la trong một phút vào ngày 8 tháng 5. Công ty đứng sau Aptos cũng đã huy động được hơn 150 triệu đô la vào tháng 7 năm 2022.
Câu chuyện này đã được cập nhật vào ngày 16 tháng 5 để bao gồm các tuyên bố từ Mysten Labs và Starcoin xác nhận rằng lỗi đã tồn tại nhưng đã được loại bỏ thông qua các bản cập nhật phần mềm.
Tất cả bình luận