Jaringan blockchain Sui diam-diam telah memperbaiki bug yang dapat membahayakan “miliaran dolar”, menurut pengumuman 16 Mei oleh Zellic, perusahaan keamanan yang disewa untuk mengawasi keamanan jaringan.
Bug kehilangan dana di Aptos dan Sui
Sorotan cepat pada bug kehilangan dana yang tidak dipublikasikan (tetapi diperbaiki) di pemeriksa langkah yang tampaknya telah ditemukan oleh @zellic_io.
Ini akan memungkinkan banyak jenis eksploitasi terhadap protokol berbasis Aptos atau Sui.
—Jasper | Neodymium (@JasperCPS) 11 April 2023
Bug tersebut berada dalam dependensi pemverifikasi bytecode, yang memastikan bahwa bahasa Move yang dapat dibaca manusia yang digunakan untuk menulis smart contract di Sui ditranskripsikan dengan benar ke dalam kode mesin selama penerapan. Seandainya bug tidak diperbaiki, itu bisa “memungkinkan penyerang untuk melewati beberapa properti keamanan, yang menyebabkan potensi kerugian finansial yang signifikan,” kata pengumuman itu.
Kedua Setelah diumumkan, pengembang Sui Mysten Labs memperbaiki bug tersebut pada 30 Maret, di commit 8bddbe65, setelah Zellic memberi tahu mereka tentang keberadaannya. Bug tersebut mungkin juga ada di jaringan berbasis Move lainnya, termasuk Aptos dan Starcoin. Versi bug Aptos adalah dihilangkan dengan tambalan pada 10 April, menurut tim Zellic.
Dalam percakapan dengan Cointelegraph, perwakilan dari jaringan 0L berbasis Move mengatakan bahwa bug tersebut tidak memengaruhi versi Move mereka. Pada 15 Mei 0L ditambahkan serangkaian tes pada GitHub mereka, yang dikatakan membuktikan bahwa eksploit tidak mungkin dilakukan pada versi 0L.
Cointelegraph menghubungi Aptos dan Starcoin untuk memberikan komentar, tetapi belum mendapat tanggapan dari publikasi.
Jaringan blockchain yang dikembangkan oleh Mysten Labs, Sui didirikan oleh mantan insinyur Meta Platforms. Ini adalah garpu proyek sumber terbuka Libra dibuat oleh induk dari Facebook Meta. Libra dulu ditutup pada tahun 2019.
Beberapa pengembang lebih memilih bahasa smart contract Move karena fitur keamanannya secara khusus menguntungkan blockchain. Misalnya, pengembang dapat membuat tipe data khusus, termasuk tipe “koin” yang tidak dapat disalin atau dihapus.
Terkait: Justin Sun meminta maaf setelah Sui LaunchPool bentrok dengan CEO Binance
Seperti jaringan blockchain lainnya, Sui tidak menyimpan kode dalam bahasa yang sama seperti yang tertulis. Alih-alih, itu mengubah kode bahasa yang dapat dibaca jaringan ini menjadi bytecode yang dapat dibaca mesin.
Dalam menjalankan terjemahan ini, Sui melakukan serangkaian pemeriksaan untuk memastikan bahwa kode yang diterjemahkan tidak melanggar properti keamanan jaringan. Misalnya, memastikan bahwa koin tidak dapat dihapus atau disalin.
Menurut postingan blog penjelasan Zellic, dia disewa oleh Mysten Labs untuk melakukan penilaian keamanan program verifikasi ini. Tidak menemukan bug di pemverifikasi itu sendiri. Namun, ditemukan bug di file “Control Flow Graph” atau “CFG” yang digunakan pemverifikasi untuk melakukan banyak tugasnya. Karena cara penulisannya, CFG dapat mengizinkan baris kode tertentu disembunyikan dari pemverifikasi, memungkinkan kode yang melanggar prinsip keamanan jaringan disimpan dan dijalankan tanpa terdeteksi.
Dalam penjelasannya, tim tersebut mengatakan bahwa cara yang paling jelas untuk mengeksploitasi kerentanan ini adalah dengan peminjam jahat yang mengambil flash loan. Ketika flash loan diimplementasikan pada jaringan berbasis Move, protokol peminjaman biasanya mengirimkan aset yang tidak dapat dihapus kepada peminjam. Jika peminjam dapat menghilangkan aset ini, “mereka dapat berhasil mengambil pinjaman kilat dan tidak membayar kembali dana yang dipinjam,” kata tim tersebut. Jenis eksploitasi lain juga dimungkinkan karena kerentanan dibiarkan melanggar prinsip dasar keamanan Move. Oleh karena itu, “berpotensi[menempatkan]miliaran dolar dalam risiko,” kata perusahaan keamanan itu dalam postingannya.
Jaringan berbasis gerak dan aplikasinya telah membuat gelombang di dunia penggalangan dana akhir-akhir ini. Pertukaran terdesentralisasi berbasis Sui yang disebut Cetus mengumpulkan lebih dari $6 juta dalam satu menit pada 8 Mei. Juga perusahaan di belakang Aptos mengumpulkan lebih dari $150 juta pada Juli 2022.