es.bitcoinethereumnews.com
La red blockchain de Sui corrigió silenciosamente un error que podría haber puesto en riesgo "miles de millones de dólares", según un anuncio del 16 de mayo de Zellic, la empresa de seguridad contratada para auditar la seguridad de la red.
Error de pérdida de fondos en Aptos y Sui
Destacado rápido sobre un error de pérdida de fondos no publicado (pero corregido) en el verificador de movimiento que parece haber sido encontrado por @zellic_io.
Esto habría permitido muchos tipos de exploits contra protocolos basados en Aptos o Sui.
— Jaspe | Neodyme (@JasperCPS) 11 de abril de 2023
El error estaba en una dependencia del verificador de código de bytes, que garantiza que el lenguaje Move legible por humanos que se usa para escribir contratos inteligentes en Sui se transcribe correctamente en código de máquina durante la implementación. Si el error no se hubiera solucionado, podría haber "permitido a los atacantes eludir múltiples propiedades de seguridad, lo que habría provocado daños financieros potencialmente significativos", decía el anuncio.
Según el anuncio, el desarrollador de Sui, Mysten Labs, corrigió el error el 30 de marzo, en la confirmación 8bddbe65, luego de que Zellic les informara de su existencia. Es posible que el error también haya estado presente en otras redes basadas en Move, incluidas Aptos y Starcoin. La versión Aptos del error se eliminó con un parche el 10 de abril, según el equipo de Zellic.
En una conversación con Cointelegraph, un representante de la red 0L basada en Move afirmó que el error no afecta su versión de Move. El 15 de mayo, 0L agregó una serie de pruebas a su GitHub, lo que demuestra que el exploit no es posible en la versión 0L.
Cointelegraph contactó a Aptos y Starcoin para hacer comentarios, pero no recibió una respuesta por publicación.
Una red blockchain desarrollada por Mysten Labs, Sui fue fundada por ex ingenieros de Meta Platforms. Es una bifurcación del proyecto Libra de código abierto creado por Meta, el padre de Facebook. Libra era cerró en 2019.
Algunos desarrolladores prefieren el lenguaje de contrato inteligente de Move porque sus características de seguridad benefician específicamente a las cadenas de bloques. Por ejemplo, permite a los desarrolladores crear tipos de datos personalizados, incluido un tipo de "moneda" que no se puede copiar ni eliminar.
Al igual que otras redes de cadenas de bloques, Sui no almacena el código en el mismo idioma en el que está escrito. En su lugar, convierte este código del lenguaje legible por humanos de la red a un código de bytes legible por máquina.
Al hacer esta traducción, Sui ejecuta una serie de verificaciones para garantizar que el código traducido no viole las propiedades de seguridad de la red. Por ejemplo, garantiza que las monedas no se puedan borrar ni copiar.
Según la publicación de blog explicativa de Zellic, Mysten Labs lo contrató para realizar una evaluación de seguridad de este programa verificador. No encontró un error en el verificador en sí. Sin embargo, encontró un error en el archivo "Gráfico de flujo de control" o archivo "CFG" que el verificador usa para realizar muchas de sus tareas. Debido a cómo fue escrito, el CFG podría permitir que ciertas líneas de código se ocultaran del verificador, permitiendo que el código que viola los principios de seguridad de la red se almacene y ejecute sin ser detectado.
En su explicación, el equipo afirmó que la forma más obvia en que esta vulnerabilidad podría haber sido explotada es por parte de prestatarios maliciosos que obtienen préstamos rápidos. Cuando los préstamos flash se implementan en redes basadas en Move, el protocolo de préstamo generalmente envía al prestatario un activo que no se puede eliminar. Si el prestatario puede eliminar este activo, "podría obtener con éxito un préstamo rápido y no pagar los fondos prestados", dijo el equipo. También podrían haber sido posibles otros tipos de exploits, ya que la vulnerabilidad permitió violar los principios básicos de seguridad de Move. Por lo tanto, "[puso] potencialmente miles de millones de dólares en riesgo", declaró la empresa de seguridad en su publicación.
Últimamente, las redes basadas en movimientos y sus aplicaciones han causado sensación en el mundo de la recaudación de fondos. Un intercambio descentralizado con sede en Sui llamado Cetus recaudó más de $ 6 millones en un minuto el 8 de mayo. La compañía detrás de Aptos también recaudó más de $ 150 millones en julio de 2022.