ตั้งแต่เดือนสิงหาคม เอคอสิสเต็มรูปแบบของระบบ SUI ได้เจริญเติบโตอย่างรวดเร็ว ตาม DefiLlama มูลค่าทั้งหมดของ SUI TVL ได้เกิน 1 พันล้านดอลลาร์ โดยเพิ่มขึ้น 200% ในช่วง 2 เดือนที่ผ่านมาและในปัจจุบันปริมาณการซื้อขายของ Cetus ซึ่งเป็น Dex ที่สร้างขึ้นบน SUI เกิน 160 ล้านดอลลาร์ต่อวัน

ในวันที่ 9 ตุลาคม สกุลเงิน USDC ของ SUI ท้องถิ่นได้เข้าสู่เครือข่ายหลักซึ่งจะดำเนินการดึงเงินมากขึ้นเข้าสู่นิเคออสเต็มของ SUI ในฐานะสมาชิกสำคัญของ Move Ecosystem SUI มุ่งมั่นที่จะให้บริการด้านธุรกรรมที่รวดเร็วและปลอดภัยสำหรับสถานการณ์ที่หลากหลายของการใช้งานบล็อกเชน

ในบทความนี้ Beosin จะช่วยให้คุณเข้าใจความท้าทายด้านความปลอดภัยที่ผู้ใช้และนักพัฒนาในระบบ Sui ต้องเผชิญหน้าด้วยประสบการณ์การตรวจสอบความปลอดภัยหลายปี

ความปลอดภัยของสัญญา

SUI ใช้ Move เป็นภาษาโปรแกรมสำหรับสัญญาอัจฉริยะ Move ถูกออกแบบให้เป็นภาษาบายโค้ดที่สามารถใช้งานได้ มีอัลกอริทึมรักษาความปลอดภัยและตัวตรวจสอบบายโค้ดที่ซึ่งมีการเรียกใช้งานแบบสแตติก

การออกแบบนี้ช่วยให้ Move สามารถแก้ไขช่องโหว่ที่พบบ่อยในสัญญาอัจฉริยะ เช่น การโจมตีด้วยวิธีการเดิมพันซ้ำ การทำลายเลขจำนวนเต็ม การใช้จ่ายครั้งที่สองและปัญหาที่อาจเกิดขึ้นจากคอมไพล์ แต่ยังคงเป็นไปได้ที่นักพัฒนาจะทำให้เกิดช่องโหว่โดยไม่ได้ตั้งใจในการพัฒนาสัญญา ตอบสนองต่อนี้ Beosin ได้นำเสนอ Move Lint ในปี 2023 เครื่องมือตรวจจับแบบคงที่ที่ทำให้ตรวจจับความเสี่ยงด้านความปลอดภัยในสัญญาได้โดยอัตโนมัติและระบุช่องโหว่

นอกจากเครื่องมือตรวจจับ ต่อไปนี้คือปัญหาด้านความปลอดภัยที่นักพัฒนาต้องให้ความสนใจเพิ่มเติมในการพัฒนาสัญญา Move เพื่อเพิ่มความปลอดภัย:

1) การเกิดค่าเกินขึ้นของจำนวนเต็ม

เปรียบเทียบกับภาษาสมาร์ทคอนแทร็คอื่น ๆ Move ตรวจสอบปัญหาการท่วมเมื่อดำเนินการทางคณิตศาสตร์ของจำนวนเต็มโดยอัตโนมัติโดยค่าเริ่มต้น ซึ่งสามารถป้องกันปัญหาการท่วมจำนวนมาก แต่ยังมีจุดสองที่ต้องทำความทราบ:

การดำเนินการทางบิตในภาษา Move ไม่ทำการตรวจสอบการเกิดการไหลเปลี่ยนเกินอัตราเนื่องจากการดำเนินการทางบิตเป็นการดำเนินการระดับบิตบนข้อมูลที่มีพฤติกรรมที่แตกต่างจากการดำเนินการทางจำนวนเต็ม

เมื่อการตรวจสอบการไหลเกินอัตโนมัติของ Move เกิดผล การทำงานของฟังก์ชันจะส่งคืนข้อยกเว้นซึ่งหากออกแบบไม่ถูกต้องอาจทำให้ธุรกิจโครงการไม่สามารถทำงานตามที่คาดหวังได้ ทำให้เกิดการโจมตีแบบ DoS

2) การอนุญาตและควบคุมการเข้าถึง

การส่งผ่านวัตถุที่มีสิทธิพิเศษและการเรียกใช้ฟังก์ชันที่มีสิทธิพิเศษควรรับรองอย่างระมัดระวัง เนื่องจากฟังก์ชันและวัตถุเหล่านี้เกี่ยวข้องกับความปลอดภัยของการทุน นอกจากนี้ ต้องตรวจสอบประเภทของวัตถุเพื่อกำหนดว่าเป็นวัตถุส่วนตัวหรือวัตถุที่ใช้ร่วมกัน หากวัตถุถูกแปลงจากวัตถุส่วนตัวเป็นวัตถุที่ใช้ร่วมกันอย่างไม่ถูกต้อง ผู้ใช้ที่ไม่มีสิทธิ์อาจสามารถเข้าถึงวัตถุได้ ทำให้เกิดความเสี่ยงด้านความปลอดภัย

นักพัฒนาสามารถใช้ Move Prover เพื่อยืนยันว่าโปรแกรมกำลังบังคับนโยบายการควบคุมการเข้าถึงโดยชัดเจน ตัวอย่างเช่นใน std.offer เราสามารถเห็นได้ว่าฟังก์ชันจะสิ้นสุดลงเมื่อผู้รับไม่ได้อยู่ใน whitelist:

3) ปัญหาความเชื่อมั่นของคำสั่งการทำธุรกรรม

การลำดับการทำธุรกรรมที่ขึ้นอยู่กับการสั่งการ (TOD) หมายถึง ความเป็นจริงที่พฤติกรรมของสัญญาอาจมีผลลัพธ์ที่แตกต่างกันขึ้นอยู่กับลำดับที่ธุรกรรมถูกดำเนินการโดยเฉพาะในสภาพแวดล้อมที่ไม่มีการควบคุมที่ถูกต้องที่ผู้ขุดเหมืองหรือผู้ตรวจสอบสามารถเลือกว่าธุรกรรมจะถูกเรียงลำดับอย่างไร มันอาจนำมาซึ่งความเสี่ยงเช่น การโจมตีการซื้อขายล่วงหน้า

ใน SUI ยังคงอยู่ที่ผู้ผลิตบล็อกที่จะดำเนินการสั่งการของธุรกรรมดังนั้น MOVE contracts ยังคงสามารถได้รับผลกระทบจากปัญหานี้หากพวกเขาถูกออกแบบให้ขึ้นอยู่กับลำดับของธุรกรรมสำหรับการเปลี่ยนแปลงสถานะ

4) ปัญหาการใช้ก๊าซ

ในเครือข่าย Sui ปัญหา Gas ของสัญญาอัจฉริยะ Move ถูกแสดงให้เห็นโดยส่วนที่เกี่ยวข้องกับต้นทุนการคำนวณและการเก็บรักษาที่จำเป็นสำหรับการดำเนินการของสัญญา กับความซับซ้อนของสัญญาที่เพิ่มขึ้นและการเปลี่ยนแปลงของสถานะ การบริโภค Gas ก็เพิ่มขึ้นตามไปด้วย นักพัฒนาต้องให้ความสำคัญกับการปรับปรุงตรรกะของสัญญา ลดการคำนวณที่ไม่จำเป็นและการอัปเดตสถานะที่ไม่จำเป็นเพื่อลดต้นทุนการทำธุรกรรมสำหรับผู้ใช้ และเฉพาะอย่างยิ่งในการหลีกเลี่ยงสถานการณ์การทำธุรกรรมที่ไม่สามารถควบคุมได้ในสัญญา เช่น อาจเกิดจาก Gas ไม่เพียงพอและไม่สามารถดำเนินธุรกิจได้อย่างถูกต้อง

5) ความแม่นยำในการคำนวณ

ในปัจจุบัน ชนิดตัวเลขที่รองรับโดย Move คือจำนวนเต็มไม่ลบและไม่รองรับจุดทศนิยม ดังนั้นส่วนทศนิยมจะถูกตัดส่วนที่เป็นเศษและปัดลงระหว่างการทำการหาร ซึ่งอาจ导致ผลลัพธ์คำนวณที่ไม่แม่นยำ ซึ่งอาจส่งผลต่อนโยบายสำคัญบางอย่าง ทำให้เสียรายได้และโมฆะเป็นช่องโหว่ในเรื่องความปลอดภัย

สำหรับปัญหานี้ มาตรการการบรรเทาทั่วไปคือการขยายความแม่นยำ แต่ควรทราบว่า ความแม่นยำต้องถูกกู้คืนเมื่อได้รับผลลัพธ์สุดท้าย

6) การจัดการวัตถุ

ในสัญญาอัจฉริยะ Move บนโซ่บล็อกเชน SUI การจัดการวัตถุเป็นศักยภาพที่สำคัญ ครอบคลุมหลายด้านของไลฟ์ไคลค์ของวัตถุ การเป็นเจ้าของ การเข้าถึงพร้อมกัน การอัปเดต การออกแบบต้องถูกต้องเพื่อควบคุมสิทธิ์ในการเข้าถึงวัตถุ รวมถึงการจัดการกับผู้ใช้หลายคนที่เข้าถึงวัตถุเดียวกันโดยพร้อมกัน เป็นปัจจัยสำคัญที่จะให้แน่ใจว่าสัญญาอัจฉริยะทำงานได้อย่างปลอดภัยและมีประสิทธิภาพ

7) ปัญหาการออกแบบและปรับใช้ตรรกะธุรกิจ

ตัวอย่างเช่น ด้วยการนำการกู้ยืมแสงในโครงการ Sui DeFi มาใช้ ผู้โจมตีสามารถใช้กู้ยืมแสงเพื่อดำเนินการโจมตีเงินทุนใหญ่ เช่นการปรับราคา

ในคุณลักษณะการสลับโทเค็น AMM ทั่วไป นักพัฒนาสามารถใช้ Move Prover เพื่อทำการตรวจสอบว่าจำนวนโทเค็นเปลี่ยนไปอย่างถูกต้อง:

ตัวอย่างเช่นโปรโตคอลการให้กู้ยืมควรมั่นคงเต็มที่เสมอหลังจากมีการฝากเงิน การยืมเงิน และการถอนเงินต่อเนื่องกัน ในกรณีที่ order book ของข้อตกลงการซื้อขายสัญญาต่อเนื่อง on-chain ถูกยกเลิกหลังจากส่งคำสั่ง ไม่ควรมีการเปลี่ยนแปลงใน ledger ฯลฯ ซึ่งต้องได้รับการตรวจสอบโดยนักพัฒนา

ความท้าทายในระบบ Sui

ในปัจจุบัน DeFi และ Memecoins ของ SUI กำลังบูมและมีปริมาณการซื้อขายและ TVL ที่เพิ่มขึ้นอย่างรวดเร็ว ต่อมามีการโกงและการซื้อขายสแปมที่มีมากขึ้นที่ผู้ใช้ต้องหลีกเลี่ยง

การโจมตีข้อมูล

ปีนี้มีการฉ้อโกงแอร์ดรอปที่ชื่อ Suisses เกิดขึ้นใน Sui Eco ซึ่งทำให้ผู้ใช้หลายคนถูกขโมยทรัพย์สิน เมื่อผู้ใช้เชื่อมต่อกับกระเป๋าเงินในเว็บไซต์ Suisses และคลิกที่การเรียกร้อง เรียกใช้เรื่องการโอนสิทธิ์ของทรัพย์สินของผู้ใช้จะปรากฏขึ้น ถ้าผู้ใช้เซ็นทรานแซคชั่น พวกเขาจะพบว่าทรัพย์สินในกระเป๋าเงินทั้งหมดของพวกเขาถูกโอนไปแล้ว

เนื่องจากลักษณะของ SUI: ทุกสิ่งเป็นวัตถุ ไม่ได้รับผลกระทบเฉพาะโทเค็นในกระเป๋าเงินของผู้ใช้เท่านั้น NFT เป็นวัตถุ และการมีส่วนร่วมของผู้ใช้ในการขุดเหมือง DeFi การเป็นที่ปรึกษาความนิยมและใบรับรองอื่น ๆ หากเกิดการโจรกรรมการตกปลา ทรัพย์สินของผู้ใช้ทั้งหมดภายในระบบ SUI อาจถูกโอนโดยผู้แฮกเกอร์ทั้งหมดในครั้งเดียว

การหลอกลวงโทเค็น

ในนิเวศ SUI มีโทเค็นปลอมและโชคดีเท่านั้น โดยเฉพาะเมื่อผู้ใช้ซื้อขาย memecoins ในนิเวศ SUI อาจถูกจับตามความประมาณ

ในการสร้างโทเค็นที่ SUI ดังที่แสดงด้านล่าง ฮากเกอร์สามารถกำหนดไอคอนและชื่อเดียวกันกับโทเค็นยอดนิยมหรือโต้ะที่ใหญ่ ทำให้มันเป็นไปไม่ได้ที่จะแยกแยะได้กับผู้ใช้ทั่วไป ดังนั้น ผู้ใช้ต้องตรวจสอบว่ารูปแบบของข้อมูลของโทเค็นถูกต้องหรือไม่เมื่อซื้อโทเค็น

นอกจากนี้ แฮกเกอร์ยังสามารถเพิ่มฟังก์ชัน DenyList ลงในสัญญาโทเค็น เพื่อให้ผู้ใช้ที่ซื้อโทเค็นไม่สามารถขายได้

ท้าทาย MEV

MEV หมายถึงมูลค่าสูงสุดที่สามารถแยกออกได้ MEV ต้นแบบได้รับการอ้างอิงเป็นค่าตีค่าที่สามารถถอดได้ของนักขุด ที่นักขุดในเครือข่าย BTC ได้รับรางวัลเกินจากค่าธรรมเนียมของบล็อกและเครือข่ายโดยการจัดเรียงธุรกรรมในบล็อก MEV ไม่ได้เกี่ยวข้องกับประเภทของเครือข่ายบล็อกเชนเลย MEV มีอยู่ในเครือข่ายบล็อกเชนทุกประการ และ Sui ก็ไม่เป็นการแก้ไข

Sui ใช้ Narwhal เป็นพูลความจำเพื่อกำหนดธุรกรรมที่ยังไม่เสร็จสมบูรณ์ให้กับโหนด และใช้ Bullshark algorithm เป็นเครื่องยืนยันเพื่อเรียงลำดับธุรกรรม

กฎการสั่งซื้อของ Sui สำหรับธุรกรรมเกิดจากค่าธรรมเนียมแก๊ส นอกจากนี้เนื่องจาก Sui นำเสนอหลักการดำเนินการทางธุรกรรมที่รวมการทำงานขั้นต่อเนื่องและขั้นต่อเนื่อง การทำธุรกรรมที่แชร์สถานะสระน้ำธุรกรรม AMM ที่เดียวกันสามารถดำเนินการได้เฉพาะในลำดับเท่านั้น ดังนั้นการโจมตีแซนด์วิชผ่านค่าธรรมเนียมแก๊สที่สูงกว่าเป็นไปได้ ซึ่งทำให้ผู้โจมตีสามารถเริ่มต้นการโจมตีแซนด์วิชผ่านการจ่ายค่าธรรมเนียมแก๊สที่สูงขึ้น เพื่อให้ผู้ใช้ที่เข้าร่วมการซื้อขาย DeFi ต้องเสียค่าเสียหาย

ข้อความปฏิเสธความรับผิดชอบ:

1. บทความนี้ถูกคัดลอกมาจาก [ beosin]. สิทธิ์ในการคัดลอกทั้งหมดเป็นของผู้เขียนต้นฉบับ [beosin]. หากมีการคัดค้านการพิมพ์ซ้ํานี้โปรดติดต่อ Gate Learnทีมของเราจะดูแลมันโดยเร็ว
2. คำประกาศความรับผิด: มุมมองและความคิดเห็นที่แสดงในบทความนี้เป็นเพียงของผู้เขียนเท่านั้น และไม่เป็นการให้คำแนะนำทางการลงทุนใด ๆ
3. การแปลบทความเป็นภาษาอื่น ๆ ถูกทำโดยทีม Gate Learn นอกเส้นทาง การคัดลอก การแจกจ่าย หรือการลอกเลียนบทความที่ถูกแปลนั้นถูกห้าม