波宝钱包app下载|深度分析 Sui 公链最新漏洞「仓鼠滚轮」的严重危害 | 动区动趋-最具影响力的区块链新闻媒体

就在上週一，CertiK 因发现重大安全漏洞 「仓鼠滚轮」，获得了 SUI 50 万美元漏洞赏金。下文中将从技术层面披露此关键漏洞的细节，阐明该漏洞的根本原因和潜在影响。 （前情提要：Sui公布「第二版」代币释放计画，附注：不保证内容、更改不会通知） （背景补充：Sui基金会锁仓代币竟在质押？KOL痛骂内幕「挖提卖」，造成SUI疯狂通膨）

本文目录

• 漏洞详解
  • 验证器在 Sui 中的关键作用
  • Move 链上的恶意载荷威胁
  • Sui 对载荷的检查顺序
• 了解 Move 的抽象直译器：线性和迭代分析
• Sui IDLeak 验证器：定製的抽象解释分析
• Sui IDLeak 验证器状态维护不一致问题
• 进一步利用不一致在 Sui IDLeak 验证器中触发无限迴圈
• 「仓鼠滚轮」 攻击在 Sui 网路中的持续性危害
• Sui 的解决方法
  • — 来自 Sui 开发者关于漏洞修复的说明
• 总结

此前，CertiK 团队于 Sui 区块链发现了一系列拒绝服务漏洞。在这些漏洞中，一种新型且具有严重影响力的漏洞格外引人注目。该漏洞可导致 Sui 网路节点无法处理新的交易，效果等同于整个网路完全关闭。

就在上週一，CertiK 因发现该重大安全漏洞，获得了 SUI 50 万美元漏洞赏金。美国业内权威媒体 CoinDesk 对该事件进行了报导，随后各大媒体也紧随其报导发布了相关新闻。

该安全漏洞被形象地称为 「仓鼠滚轮」：其独特的攻击方式与目前已知的攻击不同，攻击者只需提交一个大约 100 位元组的载荷，就能触发 Sui 验证节点中的一个无限迴圈，使其不能响应新的交易。

此外，攻击带来的损害在网路重启后仍能持续，并且能在 Sui 网路中自动传播，让所有节点如仓鼠在轮上无休止地奔跑一样无法处理新的交易。因此我们将这种独特的攻击型别称为 「仓鼠滚轮」 攻击。

发现该漏洞后，CertiK 通过 Sui 的漏洞赏金计划向 Sui 进行了报告。Sui 也第一时间进行了有效回应，确认了该漏洞的严重性，并在主网启动前积极採取了相应措施对问题进行了修复。除了修复此特定的漏洞外，Sui 还实施了预防性的缓解措施，以减少该漏洞可能造成的潜在损害。

为了感谢 CertiK 团队负责地披露，Sui 向 CertiK 团队颁发了 50 万美元奖金。

下文中将从技术层面披露此关键漏洞的细节，阐明该漏洞的根本原因和潜在影响。