股票知识学(xue)习网(www.vitai-group.cn)讯:今年5月上旬(xun)刚上线主网的新兴(xing)公链SUI,其代(dai)币在当时上架各大交易所时,开(kai)盘一度冲破$2,涨幅达(da)2000%,交出不错的成(cheng)绩单。但就在昨(16)日(ri),SUI却爆出在3月时曾秘密(mi)修复区块链底层漏洞,并未对外公开。
Sui的安全漏洞,可能造成十亿美元的(de)威胁
据安全审计公(gong)司Zellic官方爆料,SUI曾在今年3月份在未公(gong)示的情况下秘密修复(fu)了一个安全漏洞:“一个(ge)十亿美元量级的BUG:这个漏洞打破了Move编程(cheng)语言的核心安全属性,并会破坏许多智能合约,例如闪电贷款(flash loans)。”
安全(quan)漏洞发生原因?
Zellic在文章(zhang)中,也详细介绍了此漏洞的产生原因(yin):SUI基于Move编程(cheng)语言的移动验证器(move verifier)本身没(mei)有漏洞,但该验证(zheng)器的编写方式允许攻击者对(dui)验证者隐藏部分代码,因此黑客可在不(bu)被发现的情况下运行(xing)违反网络安全原则的代码。
Zellic举例,黑客最可能采用的手法便是「闪(shan)电贷攻击」。常规来(lai)讲,贷款协议通常会(hui)向借款人发送无法删除(chu)的资产以证明债务(wu)关系,而该漏洞可以导致借(jie)款人有权限删除(chu)该资产,这样就无(wu)需偿还所借入的资金。
此外,Zellic还表示(shi)该漏洞对许多基于Move语言的区块链都可造成影响,并透(tou)露,同样使用Move语言的公链Aptos也曾在4月10日通过补丁修复了该漏(lou)洞。
另一家安(an)全公司Neodyme的共同创办人Jasper也认为,倘若(ruo)该漏洞未被修复(fu),将造成重大经济损失(shi):攻击者可以绕过多(duo)重安全防御系统,造成潜在的(de)重大经济损失。
对于该消息,SUI的开发商Mysten Labs并没有过多(duo)回应,但已就此(ci)事向Cointelegraph致函(han),确认官方已修复该漏洞。
