波宝钱包app下载|深度分析 Sui 公链最新漏洞「仓鼠滚轮」的严重危害 | 动区动趋-最具影响力的区块链新闻媒体
就在上週一,CertiK 因发现重大安全漏洞 「仓鼠滚轮」,获得了 SUI 50 万美元漏洞赏金。下文中将从技术层面披露此关键漏洞的细节,阐明该漏洞的根本原因和潜在影响。 (前情提要:Sui公布「第二版」代币释放计画,附注:不保证内容、更改不会通知) (背景补充:Sui基金会锁仓代币竟在质押?KOL痛骂内幕「挖提卖」,造成SUI疯狂通膨)
本文目录
- 漏洞详解
- 验证器在 Sui 中的关键作用
- Move 链上的恶意载荷威胁
- Sui 对载荷的检查顺序
- 了解 Move 的抽象直译器:线性和迭代分析
- Sui IDLeak 验证器:定製的抽象解释分析
- Sui IDLeak 验证器状态维护不一致问题
- 进一步利用不一致在 Sui IDLeak 验证器中触发无限迴圈
- 「仓鼠滚轮」 攻击在 Sui 网路中的持续性危害
- Sui 的解决方法
- — 来自 Sui 开发者关于漏洞修复的说明
- 总结
此前,CertiK 团队于 Sui 区块链发现了一系列拒绝服务漏洞。在这些漏洞中,一种新型且具有严重影响力的漏洞格外引人注目。该漏洞可导致 Sui 网路节点无法处理新的交易,效果等同于整个网路完全关闭。
就在上週一,CertiK 因发现该重大安全漏洞,获得了 SUI 50 万美元漏洞赏金。美国业内权威媒体 CoinDesk 对该事件进行了报导,随后各大媒体也紧随其报导发布了相关新闻。
该安全漏洞被形象地称为 「仓鼠滚轮」:其独特的攻击方式与目前已知的攻击不同,攻击者只需提交一个大约 100 位元组的载荷,就能触发 Sui 验证节点中的一个无限迴圈,使其不能响应新的交易。
此外,攻击带来的损害在网路重启后仍能持续,并且能在 Sui 网路中自动传播,让所有节点如仓鼠在轮上无休止地奔跑一样无法处理新的交易。因此我们将这种独特的攻击型别称为 「仓鼠滚轮」 攻击。
发现该漏洞后,CertiK 通过 Sui 的漏洞赏金计划向 Sui 进行了报告。Sui 也第一时间进行了有效回应,确认了该漏洞的严重性,并在主网启动前积极採取了相应措施对问题进行了修复。除了修复此特定的漏洞外,Sui 还实施了预防性的缓解措施,以减少该漏洞可能造成的潜在损害。
为了感谢 CertiK 团队负责地披露,Sui 向 CertiK 团队颁发了 50 万美元奖金。
下文中将从技术层面披露此关键漏洞的细节,阐明该漏洞的根本原因和潜在影响。