Fe de firmeza tras la crisis de seguridad: ¿Por qué SUI aún tiene potencial de crecimiento a largo plazo?
TL;DR
La vulnerabilidad de Cetus proviene de la implementación del contrato, y no del SUI o del lenguaje Move en sí mismo:
El ataque se debe a la falta de verificación de límites en las funciones aritméticas del protocolo Cetus------una vulnerabilidad lógica causada por una máscara demasiado amplia y un desbordamiento de desplazamiento, que no está relacionada con el modelo de seguridad de recursos de la cadena SUI o el lenguaje Move. La vulnerabilidad se puede corregir con "una verificación de límites en una línea" y no afecta la seguridad central de todo el ecosistema.
El valor de la "centralización razonable" en el mecanismo SUI se revela en tiempos de crisis:
Aunque SUI presenta una leve tendencia a la centralización con funciones como rondas de validadores DPoS y congelamiento de listas negras, esto resultó útil en la respuesta al evento CETUS: los validadores sincronizaron rápidamente direcciones maliciosas a la Deny List y rechazaron empaquetar transacciones relacionadas, logrando la congelación instantánea de más de 160 millones de dólares en fondos. Esto es esencialmente una forma activa de "keynesianismo en cadena", donde un control macroeconómico efectivo tuvo un efecto positivo en el sistema económico.
Reflexiones y recomendaciones sobre la seguridad técnica:
Matemáticas y verificación de límites: introducir afirmaciones de límites superior e inferior para todas las operaciones aritméticas clave (como desplazamiento, multiplicación y división), y realizar fuzzing de valores extremos y verificación formal. Además, es necesario mejorar la auditoría y la supervisión: además de la auditoría de código general, se debe agregar un equipo de auditoría matemática especializado y detección de comportamiento de transacciones en cadena en tiempo real, para detectar temprano divisiones anómalas o préstamos relámpago de gran cantidad;
Resumen y sugerencias sobre el mecanismo de garantía de fondos:
En el evento de Cetus, SUI colaboró de manera eficiente con el equipo del proyecto, logrando congelar más de 160 millones de dólares en fondos y promoviendo un plan de compensación del 100%, lo que demuestra una fuerte capacidad de respuesta en la cadena y un sentido de responsabilidad ecológica. La Fundación SUI también añadió 10 millones de dólares en fondos para auditoría, reforzando la línea de seguridad. En el futuro, se pueden avanzar mecanismos como un sistema de seguimiento en la cadena, herramientas de seguridad co-creadas por la comunidad y seguros descentralizados para mejorar el sistema de garantía de fondos.
La expansión diversificada del ecosistema SUI
SUI ha logrado rápidamente la transición de "nueva cadena" a "ecosistema fuerte" en menos de dos años, construyendo un mapa ecológico diversificado que abarca múltiples pistas como stablecoins, DEX, infraestructura, DePIN y juegos. La escala total de stablecoins ha superado los 1,000 millones de dólares, proporcionando una sólida base de liquidez para el módulo DeFi; el TVL ocupa el octavo lugar a nivel mundial, la actividad comercial es la quinta a nivel mundial y es la tercera entre redes no EVM (solo detrás de Bitcoin y Solana), mostrando una fuerte participación de usuarios y capacidad de acumulación de activos.
1. Una reacción en cadena provocada por un ataque.
El 22 de mayo de 2025, el principal protocolo AMM Cetus, desplegado en la red SUI, fue atacado por hackers. Los atacantes aprovecharon una vulnerabilidad lógica relacionada con un "problema de desbordamiento de enteros" para llevar a cabo un control preciso, lo que resultó en pérdidas de más de 200 millones de dólares en activos. Este incidente no solo es uno de los accidentes de seguridad más grandes en el ámbito DeFi hasta la fecha este año, sino que también se ha convertido en el ataque hacker más destructivo desde el lanzamiento de la mainnet de SUI.
Según los datos de DefiLlama, el TVL total de SUI en la cadena cayó en más de 330 millones de dólares el mismo día del ataque, y la cantidad bloqueada del protocolo Cetus se evaporó instantáneamente en un 84%, cayendo a 38 millones de dólares. Como consecuencia, varios tokens populares en SUI (incluidos Lofi, Sudeng, Squirtle, entre otros) cayeron entre un 76% y un 97% en solo una hora, lo que generó una amplia preocupación en el mercado sobre la seguridad y la estabilidad del ecosistema de SUI.
Pero después de esta ola de impacto, el ecosistema SUI ha mostrado una gran resiliencia y capacidad de recuperación. A pesar de que el evento Cetus provocó una fluctuación en la confianza a corto plazo, los fondos en cadena y la actividad de los usuarios no han sufrido un deterioro sostenido, sino que han impulsado un aumento significativo en la atención del ecosistema hacia la seguridad, la construcción de infraestructura y la calidad de los proyectos.
Klein Labs se centrará en las causas de este ataque, el mecanismo de consenso de nodos de SUI, la seguridad del lenguaje MOVE y el desarrollo ecológico de SUI, para analizar el actual panorama ecológico de esta cadena pública que aún se encuentra en una etapa temprana de desarrollo y explorar su potencial de desarrollo futuro.
2. Análisis de las causas del ataque del evento Cetus
2.1 Proceso de implementación del ataque
Según el análisis técnico del equipo de Slow Mist sobre el incidente de ataque a Cetus, los hackers aprovecharon con éxito una vulnerabilidad crítica de desbordamiento aritmético en el protocolo, utilizando préstamos relámpago, manipulación de precios precisa y defectos en el contrato, robando más de 200 millones de dólares en activos digitales en un corto período de tiempo. La ruta del ataque se puede dividir en las siguientes tres etapas:
①Iniciar un préstamo relámpago, manipular precios
Los hackers primero utilizan el mayor deslizamiento para hacer un intercambio relámpago de 100 mil millones de haSUI mediante un préstamo relámpago, prestando una gran cantidad de fondos para manipular precios.
El préstamo relámpago permite a los usuarios tomar prestados y devolver fondos en una sola transacción, pagando solo una tarifa, con características de alta apalancamiento, bajo riesgo y bajo costo. Los hackers aprovecharon este mecanismo para reducir rápidamente el precio del mercado y controlarlo de manera precisa dentro de un rango muy estrecho.
Luego, el atacante se prepara para crear una posición de liquidez extremadamente estrecha, estableciendo el rango de precios exactamente entre la oferta más baja de 300,000 y el precio más alto de 300,200, con un ancho de precio de solo 1.00496621%.
A través de los métodos anteriores, los hackers utilizaron una cantidad suficiente de tokens y una gran liquidez para manipular con éxito el precio de haSUI. Luego, también manipularon varios tokens sin valor real.
②Agregar liquidez
El atacante crea posiciones de liquidez estrechas, declara que añade liquidez, pero debido a la vulnerabilidad de la función checked_shlw, finalmente solo recibe 1 token.
Esencialmente se debe a dos razones:
Configuración de máscara demasiado amplia: equivale a un límite de adición de liquidez extremadamente grande, lo que hace que la validación de las entradas del usuario en el contrato sea irrelevante. Los hackers evaden la detección de desbordamiento al establecer parámetros anómalos que construyen entradas que siempre son menores que ese límite.
Desbordamiento de datos truncado: al realizar la operación de desplazamiento n << 64 en el valor numérico n, ocurrió un truncamiento de datos debido a que el desplazamiento excedió el ancho de bits efectivo del tipo de datos uint256 (256 bits). La parte de desbordamiento de bits más altos fue descartada automáticamente, lo que resultó en que el resultado de la operación fue muy inferior a lo esperado, lo que llevó al sistema a subestimar la cantidad de haSUI necesaria para el intercambio. El resultado final de los cálculos fue aproximadamente menor que 1, pero como se redondea hacia arriba, al final resultó igual a 1, es decir, el hacker solo necesitaba agregar 1 token para poder canjear una gran cantidad de liquidez.
③ retirar liquidez
Realizar el reembolso de un préstamo relámpago, manteniendo enormes ganancias. Finalmente, retirar activos de tokens por un valor total de cientos de millones de dólares de múltiples pools de liquidez.
La situación de pérdida de fondos es grave, el ataque ha llevado al robo de los siguientes activos:
12.9 millones de SUI (aproximadamente 54 millones de dólares)
6000 millones de dólares USDC
4.9 millones de dólares Haedal Staked SUI
1950万美元 TOILET
Otras criptomonedas como HIPPO y LOFI cayeron un 75--80%, la liquidez se ha agotado.
2.2 Causas y características de esta vulnerabilidad
La vulnerabilidad de Cetus tiene tres características:
Costo de reparación extremadamente bajo: por un lado, la causa fundamental del evento Cetus fue un descuido en la biblioteca matemática de Cetus, y no un error en el mecanismo de precios del protocolo o en la arquitectura subyacente. Por otro lado, la vulnerabilidad se limita únicamente a Cetus y no tiene relación con el código de SUI. La raíz de la vulnerabilidad se encuentra en una condición límite, y solo se necesitan modificar dos líneas de código para eliminar completamente el riesgo; una vez completada la reparación, se puede desplegar inmediatamente en la red principal, asegurando que la lógica de los contratos futuros esté completa y eliminando esta vulnerabilidad.
Alta ocultación: El contrato ha estado funcionando de manera estable y sin fallos durante dos años desde su lanzamiento. Cetus Protocol ha realizado varias auditorías, pero no se han encontrado vulnerabilidades, y la razón principal es que la biblioteca Integer_Mate utilizada para cálculos matemáticos no fue incluida en el alcance de la auditoría.
Los hackers utilizan valores extremos para construir con precisión intervalos de transacción, creando un escenario extremadamente raro de alta liquidez que activa la lógica anómala, lo que indica que este tipo de problemas es difícil de detectar a través de pruebas comunes. Estos problemas a menudo se encuentran en zonas muertas de la percepción de las personas, por lo que permanecen ocultos durante mucho tiempo antes de ser descubiertos.
No es un problema exclusivo de Move:
Move es superior a varios lenguajes de contratos inteligentes en términos de seguridad de recursos y verificación de tipos, e incluye detección nativa de problemas de desbordamiento de enteros en situaciones comunes. Este desbordamiento ocurrió porque al agregar liquidez se usó un valor incorrecto para la verificación de límites al calcular la cantidad de tokens necesarios, y se utilizó una operación de desplazamiento en lugar de una operación de multiplicación convencional. Sin embargo, si se usan operaciones de suma, resta, multiplicación o división convencionales, Move verificará automáticamente las situaciones de desbordamiento, evitando así problemas de truncamiento de bits altos.
Vulnerabilidades similares también han aparecido en otros lenguajes (como Solidity, Rust), e incluso son más fáciles de explotar debido a la falta de protección contra desbordamiento de enteros; antes de las actualizaciones de versiones de Solidity, la verificación de desbordamientos era muy débil. Históricamente, han ocurrido desbordamientos de suma, desbordamientos de resta, desbordamientos de multiplicación, etc., siendo la causa directa que los resultados de las operaciones superaban el rango. Por ejemplo, las vulnerabilidades en los contratos inteligentes BEC y SMT del lenguaje Solidity, lograron el ataque mediante parámetros cuidadosamente construidos, eludiendo las sentencias de verificación en el contrato, realizando transferencias excesivas.
3. Mecanismo de consenso de SUI
3.1 Introducción al mecanismo de consenso SUI
Resumen:
SUI adopta un marco de Prueba de Participación Delegada (DeleGated Proof of Stake, abreviado DPoS). Aunque el mecanismo DPoS puede aumentar el rendimiento de las transacciones, no puede proporcionar un alto grado de descentralización como lo hace PoW (Prueba de Trabajo). Por lo tanto, el grado de descentralización de SUI es relativamente bajo, y el umbral de gobernanza es relativamente alto, lo que dificulta que los usuarios comunes influyan directamente en la gobernanza de la red.
Número promedio de validadores: 106
Promedio de duración de Epoch: 24 horas
Proceso del mecanismo:
Delegación de derechos: Los usuarios comunes no necesitan ejecutar nodos por sí mismos, solo necesitan apostar SUI y delegarlo a un validador candidato para participar en la garantía de seguridad de la red y la distribución de recompensas. Este mecanismo puede reducir la barrera de entrada para los usuarios comunes, permitiéndoles participar en el consenso de la red a través de la "contratación" de validadores de confianza. Esta es también una gran ventaja del DPoS en comparación con el PoS tradicional.
Representar la ronda de bloques: un pequeño número de validadores seleccionados producen bloques en un orden fijo o aleatorio, lo que aumenta la velocidad de confirmación y mejora el TPS.
Elecciones dinámicas: Al final de cada ciclo de conteo de votos, se realiza una rotación dinámica y una nueva elección del conjunto de Validadores, según el peso del voto, para garantizar la vitalidad de los nodos, la consistencia de intereses y la descentralización.
Ventajas de DPoS:
Alta eficiencia: Debido a que la cantidad de nodos de creación de bloques es controlable, la red puede completar la confirmación en milisegundos, satisfaciendo la alta demanda de TPS.
Bajo costo: Menos nodos participan en el consenso, lo que reduce significativamente el ancho de banda de red y los recursos computacionales necesarios para la sincronización de información y la agregación de firmas. Por lo tanto, los costos de hardware y operación disminuyen, así como los requerimientos de potencia de cálculo, lo que resulta en un costo más bajo. Finalmente, se logra una tarifa de usuario más baja.
Alta seguridad: los mecanismos de participación y delegación amplifican simultáneamente los costos y riesgos de ataque; junto con el mecanismo de confiscación en la cadena, se inhiben efectivamente los comportamientos maliciosos.
Al mismo tiempo, en el mecanismo de consenso de SUI, se utiliza un algoritmo basado en BFT (tolerancia a fallos bizantinos), que requiere que más de dos tercios de los votos de los validadores estén de acuerdo para confirmar una transacción. Este mecanismo asegura que, incluso si algunos nodos actúan de manera maliciosa, la red pueda seguir funcionando de manera segura y eficiente. Para realizar cualquier actualización o toma de decisiones importante, también se necesita más de dos tercios de los votos para implementar.
En esencia, DPoS es una solución de compromiso al triángulo imposible, que busca un equilibrio entre descentralización y eficiencia. DPoS elige reducir el número de nodos activos de producción de bloques a cambio de un mayor rendimiento en el "triángulo imposible" de seguridad-descentralización-escalabilidad, renunciando a un cierto grado de completa descentralización en comparación con el PoS puro o PoW, pero mejora significativamente la capacidad de procesamiento de la red y la velocidad de las transacciones.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
23 me gusta
Recompensa
23
3
Republicar
Compartir
Comentar
0/400
AlphaLeaker
· 08-05 17:19
El ataque no es culpa de Sui, sino que el código está mal escrito.
Ver originalesResponder0
NFTArtisanHQ
· 08-03 04:20
hmm... ¿lo de cetus? solo un pequeño tropiezo en la evolución dialéctica de sui, para ser sincero. me da fuertes vibras de los readymades de duchamp - el caos genera innovación fr fr
Ver originalesResponder0
HodlVeteran
· 08-03 04:19
A una cierta edad, ¿qué sentido tiene seguir compitiendo en el círculo automovilístico? Si SUI se va al suelo, pues se va al suelo, se repara y se vuelve a la carretera.
La resiliencia del ecosistema SUI se destaca, con un potencial de crecimiento a largo plazo incluso después de incidentes de seguridad.
Fe de firmeza tras la crisis de seguridad: ¿Por qué SUI aún tiene potencial de crecimiento a largo plazo?
TL;DR
El ataque se debe a la falta de verificación de límites en las funciones aritméticas del protocolo Cetus------una vulnerabilidad lógica causada por una máscara demasiado amplia y un desbordamiento de desplazamiento, que no está relacionada con el modelo de seguridad de recursos de la cadena SUI o el lenguaje Move. La vulnerabilidad se puede corregir con "una verificación de límites en una línea" y no afecta la seguridad central de todo el ecosistema.
Aunque SUI presenta una leve tendencia a la centralización con funciones como rondas de validadores DPoS y congelamiento de listas negras, esto resultó útil en la respuesta al evento CETUS: los validadores sincronizaron rápidamente direcciones maliciosas a la Deny List y rechazaron empaquetar transacciones relacionadas, logrando la congelación instantánea de más de 160 millones de dólares en fondos. Esto es esencialmente una forma activa de "keynesianismo en cadena", donde un control macroeconómico efectivo tuvo un efecto positivo en el sistema económico.
Matemáticas y verificación de límites: introducir afirmaciones de límites superior e inferior para todas las operaciones aritméticas clave (como desplazamiento, multiplicación y división), y realizar fuzzing de valores extremos y verificación formal. Además, es necesario mejorar la auditoría y la supervisión: además de la auditoría de código general, se debe agregar un equipo de auditoría matemática especializado y detección de comportamiento de transacciones en cadena en tiempo real, para detectar temprano divisiones anómalas o préstamos relámpago de gran cantidad;
En el evento de Cetus, SUI colaboró de manera eficiente con el equipo del proyecto, logrando congelar más de 160 millones de dólares en fondos y promoviendo un plan de compensación del 100%, lo que demuestra una fuerte capacidad de respuesta en la cadena y un sentido de responsabilidad ecológica. La Fundación SUI también añadió 10 millones de dólares en fondos para auditoría, reforzando la línea de seguridad. En el futuro, se pueden avanzar mecanismos como un sistema de seguimiento en la cadena, herramientas de seguridad co-creadas por la comunidad y seguros descentralizados para mejorar el sistema de garantía de fondos.
SUI ha logrado rápidamente la transición de "nueva cadena" a "ecosistema fuerte" en menos de dos años, construyendo un mapa ecológico diversificado que abarca múltiples pistas como stablecoins, DEX, infraestructura, DePIN y juegos. La escala total de stablecoins ha superado los 1,000 millones de dólares, proporcionando una sólida base de liquidez para el módulo DeFi; el TVL ocupa el octavo lugar a nivel mundial, la actividad comercial es la quinta a nivel mundial y es la tercera entre redes no EVM (solo detrás de Bitcoin y Solana), mostrando una fuerte participación de usuarios y capacidad de acumulación de activos.
1. Una reacción en cadena provocada por un ataque.
El 22 de mayo de 2025, el principal protocolo AMM Cetus, desplegado en la red SUI, fue atacado por hackers. Los atacantes aprovecharon una vulnerabilidad lógica relacionada con un "problema de desbordamiento de enteros" para llevar a cabo un control preciso, lo que resultó en pérdidas de más de 200 millones de dólares en activos. Este incidente no solo es uno de los accidentes de seguridad más grandes en el ámbito DeFi hasta la fecha este año, sino que también se ha convertido en el ataque hacker más destructivo desde el lanzamiento de la mainnet de SUI.
Según los datos de DefiLlama, el TVL total de SUI en la cadena cayó en más de 330 millones de dólares el mismo día del ataque, y la cantidad bloqueada del protocolo Cetus se evaporó instantáneamente en un 84%, cayendo a 38 millones de dólares. Como consecuencia, varios tokens populares en SUI (incluidos Lofi, Sudeng, Squirtle, entre otros) cayeron entre un 76% y un 97% en solo una hora, lo que generó una amplia preocupación en el mercado sobre la seguridad y la estabilidad del ecosistema de SUI.
Pero después de esta ola de impacto, el ecosistema SUI ha mostrado una gran resiliencia y capacidad de recuperación. A pesar de que el evento Cetus provocó una fluctuación en la confianza a corto plazo, los fondos en cadena y la actividad de los usuarios no han sufrido un deterioro sostenido, sino que han impulsado un aumento significativo en la atención del ecosistema hacia la seguridad, la construcción de infraestructura y la calidad de los proyectos.
Klein Labs se centrará en las causas de este ataque, el mecanismo de consenso de nodos de SUI, la seguridad del lenguaje MOVE y el desarrollo ecológico de SUI, para analizar el actual panorama ecológico de esta cadena pública que aún se encuentra en una etapa temprana de desarrollo y explorar su potencial de desarrollo futuro.
2. Análisis de las causas del ataque del evento Cetus
2.1 Proceso de implementación del ataque
Según el análisis técnico del equipo de Slow Mist sobre el incidente de ataque a Cetus, los hackers aprovecharon con éxito una vulnerabilidad crítica de desbordamiento aritmético en el protocolo, utilizando préstamos relámpago, manipulación de precios precisa y defectos en el contrato, robando más de 200 millones de dólares en activos digitales en un corto período de tiempo. La ruta del ataque se puede dividir en las siguientes tres etapas:
①Iniciar un préstamo relámpago, manipular precios
Los hackers primero utilizan el mayor deslizamiento para hacer un intercambio relámpago de 100 mil millones de haSUI mediante un préstamo relámpago, prestando una gran cantidad de fondos para manipular precios.
El préstamo relámpago permite a los usuarios tomar prestados y devolver fondos en una sola transacción, pagando solo una tarifa, con características de alta apalancamiento, bajo riesgo y bajo costo. Los hackers aprovecharon este mecanismo para reducir rápidamente el precio del mercado y controlarlo de manera precisa dentro de un rango muy estrecho.
Luego, el atacante se prepara para crear una posición de liquidez extremadamente estrecha, estableciendo el rango de precios exactamente entre la oferta más baja de 300,000 y el precio más alto de 300,200, con un ancho de precio de solo 1.00496621%.
A través de los métodos anteriores, los hackers utilizaron una cantidad suficiente de tokens y una gran liquidez para manipular con éxito el precio de haSUI. Luego, también manipularon varios tokens sin valor real.
②Agregar liquidez
El atacante crea posiciones de liquidez estrechas, declara que añade liquidez, pero debido a la vulnerabilidad de la función checked_shlw, finalmente solo recibe 1 token.
Esencialmente se debe a dos razones:
Configuración de máscara demasiado amplia: equivale a un límite de adición de liquidez extremadamente grande, lo que hace que la validación de las entradas del usuario en el contrato sea irrelevante. Los hackers evaden la detección de desbordamiento al establecer parámetros anómalos que construyen entradas que siempre son menores que ese límite.
Desbordamiento de datos truncado: al realizar la operación de desplazamiento n << 64 en el valor numérico n, ocurrió un truncamiento de datos debido a que el desplazamiento excedió el ancho de bits efectivo del tipo de datos uint256 (256 bits). La parte de desbordamiento de bits más altos fue descartada automáticamente, lo que resultó en que el resultado de la operación fue muy inferior a lo esperado, lo que llevó al sistema a subestimar la cantidad de haSUI necesaria para el intercambio. El resultado final de los cálculos fue aproximadamente menor que 1, pero como se redondea hacia arriba, al final resultó igual a 1, es decir, el hacker solo necesitaba agregar 1 token para poder canjear una gran cantidad de liquidez.
③ retirar liquidez
Realizar el reembolso de un préstamo relámpago, manteniendo enormes ganancias. Finalmente, retirar activos de tokens por un valor total de cientos de millones de dólares de múltiples pools de liquidez.
La situación de pérdida de fondos es grave, el ataque ha llevado al robo de los siguientes activos:
12.9 millones de SUI (aproximadamente 54 millones de dólares)
6000 millones de dólares USDC
4.9 millones de dólares Haedal Staked SUI
1950万美元 TOILET
Otras criptomonedas como HIPPO y LOFI cayeron un 75--80%, la liquidez se ha agotado.
2.2 Causas y características de esta vulnerabilidad
La vulnerabilidad de Cetus tiene tres características:
Costo de reparación extremadamente bajo: por un lado, la causa fundamental del evento Cetus fue un descuido en la biblioteca matemática de Cetus, y no un error en el mecanismo de precios del protocolo o en la arquitectura subyacente. Por otro lado, la vulnerabilidad se limita únicamente a Cetus y no tiene relación con el código de SUI. La raíz de la vulnerabilidad se encuentra en una condición límite, y solo se necesitan modificar dos líneas de código para eliminar completamente el riesgo; una vez completada la reparación, se puede desplegar inmediatamente en la red principal, asegurando que la lógica de los contratos futuros esté completa y eliminando esta vulnerabilidad.
Alta ocultación: El contrato ha estado funcionando de manera estable y sin fallos durante dos años desde su lanzamiento. Cetus Protocol ha realizado varias auditorías, pero no se han encontrado vulnerabilidades, y la razón principal es que la biblioteca Integer_Mate utilizada para cálculos matemáticos no fue incluida en el alcance de la auditoría.
Los hackers utilizan valores extremos para construir con precisión intervalos de transacción, creando un escenario extremadamente raro de alta liquidez que activa la lógica anómala, lo que indica que este tipo de problemas es difícil de detectar a través de pruebas comunes. Estos problemas a menudo se encuentran en zonas muertas de la percepción de las personas, por lo que permanecen ocultos durante mucho tiempo antes de ser descubiertos.
Move es superior a varios lenguajes de contratos inteligentes en términos de seguridad de recursos y verificación de tipos, e incluye detección nativa de problemas de desbordamiento de enteros en situaciones comunes. Este desbordamiento ocurrió porque al agregar liquidez se usó un valor incorrecto para la verificación de límites al calcular la cantidad de tokens necesarios, y se utilizó una operación de desplazamiento en lugar de una operación de multiplicación convencional. Sin embargo, si se usan operaciones de suma, resta, multiplicación o división convencionales, Move verificará automáticamente las situaciones de desbordamiento, evitando así problemas de truncamiento de bits altos.
Vulnerabilidades similares también han aparecido en otros lenguajes (como Solidity, Rust), e incluso son más fáciles de explotar debido a la falta de protección contra desbordamiento de enteros; antes de las actualizaciones de versiones de Solidity, la verificación de desbordamientos era muy débil. Históricamente, han ocurrido desbordamientos de suma, desbordamientos de resta, desbordamientos de multiplicación, etc., siendo la causa directa que los resultados de las operaciones superaban el rango. Por ejemplo, las vulnerabilidades en los contratos inteligentes BEC y SMT del lenguaje Solidity, lograron el ataque mediante parámetros cuidadosamente construidos, eludiendo las sentencias de verificación en el contrato, realizando transferencias excesivas.
3. Mecanismo de consenso de SUI
3.1 Introducción al mecanismo de consenso SUI
Resumen:
SUI adopta un marco de Prueba de Participación Delegada (DeleGated Proof of Stake, abreviado DPoS). Aunque el mecanismo DPoS puede aumentar el rendimiento de las transacciones, no puede proporcionar un alto grado de descentralización como lo hace PoW (Prueba de Trabajo). Por lo tanto, el grado de descentralización de SUI es relativamente bajo, y el umbral de gobernanza es relativamente alto, lo que dificulta que los usuarios comunes influyan directamente en la gobernanza de la red.
Número promedio de validadores: 106
Promedio de duración de Epoch: 24 horas
Proceso del mecanismo:
Delegación de derechos: Los usuarios comunes no necesitan ejecutar nodos por sí mismos, solo necesitan apostar SUI y delegarlo a un validador candidato para participar en la garantía de seguridad de la red y la distribución de recompensas. Este mecanismo puede reducir la barrera de entrada para los usuarios comunes, permitiéndoles participar en el consenso de la red a través de la "contratación" de validadores de confianza. Esta es también una gran ventaja del DPoS en comparación con el PoS tradicional.
Representar la ronda de bloques: un pequeño número de validadores seleccionados producen bloques en un orden fijo o aleatorio, lo que aumenta la velocidad de confirmación y mejora el TPS.
Elecciones dinámicas: Al final de cada ciclo de conteo de votos, se realiza una rotación dinámica y una nueva elección del conjunto de Validadores, según el peso del voto, para garantizar la vitalidad de los nodos, la consistencia de intereses y la descentralización.
Ventajas de DPoS:
Alta eficiencia: Debido a que la cantidad de nodos de creación de bloques es controlable, la red puede completar la confirmación en milisegundos, satisfaciendo la alta demanda de TPS.
Bajo costo: Menos nodos participan en el consenso, lo que reduce significativamente el ancho de banda de red y los recursos computacionales necesarios para la sincronización de información y la agregación de firmas. Por lo tanto, los costos de hardware y operación disminuyen, así como los requerimientos de potencia de cálculo, lo que resulta en un costo más bajo. Finalmente, se logra una tarifa de usuario más baja.
Alta seguridad: los mecanismos de participación y delegación amplifican simultáneamente los costos y riesgos de ataque; junto con el mecanismo de confiscación en la cadena, se inhiben efectivamente los comportamientos maliciosos.
Al mismo tiempo, en el mecanismo de consenso de SUI, se utiliza un algoritmo basado en BFT (tolerancia a fallos bizantinos), que requiere que más de dos tercios de los votos de los validadores estén de acuerdo para confirmar una transacción. Este mecanismo asegura que, incluso si algunos nodos actúan de manera maliciosa, la red pueda seguir funcionando de manera segura y eficiente. Para realizar cualquier actualización o toma de decisiones importante, también se necesita más de dos tercios de los votos para implementar.
En esencia, DPoS es una solución de compromiso al triángulo imposible, que busca un equilibrio entre descentralización y eficiencia. DPoS elige reducir el número de nodos activos de producción de bloques a cambio de un mayor rendimiento en el "triángulo imposible" de seguridad-descentralización-escalabilidad, renunciando a un cierto grado de completa descentralización en comparación con el PoS puro o PoW, pero mejora significativamente la capacidad de procesamiento de la red y la velocidad de las transacciones.
3.2 En este ataque, SUI