Creencia firme después de la crisis de seguridad: ¿por qué SUI aún tiene el potencial de subir a largo plazo?
TL;DR
La vulnerabilidad de Cetus proviene de la implementación del contrato, y no del SUI o del lenguaje Move en sí mismo:
El ataque se debe a la falta de verificación de límites en las funciones aritméticas del protocolo Cetus------una vulnerabilidad lógica causada por una máscara demasiado amplia y un desbordamiento de desplazamiento, que no está relacionada con el modelo de seguridad de recursos de la cadena SUI o el lenguaje Move. La vulnerabilidad se puede solucionar con "una línea de verificación de límites" y no afecta la seguridad central de todo el ecosistema.
El valor de la "centralización razonable" en el mecanismo SUI se manifiesta en tiempos de crisis:
Aunque SUI tiene una ligera tendencia a la centralización al adoptar funciones como rondas de validadores DPoS y congelación de listas negras, esto ha demostrado ser útil en la respuesta a eventos de CETUS: los validadores sincronizaron rápidamente las direcciones maliciosas a la Deny List, rechazando empaquetar las transacciones relacionadas, lo que resultó en la congelación instantánea de más de 160 millones de dólares en fondos. Esto es esencialmente una forma activa de "keynesianismo en cadena", donde el control macroeconómico efectivo tiene un efecto positivo en el sistema económico.
Reflexiones y sugerencias sobre la seguridad técnica:
Matemáticas y validación de límites: Introducir afirmaciones de límites superiores e inferiores para todas las operaciones aritméticas clave (como desplazamientos, multiplicaciones y divisiones), y realizar fuzzing de valores extremos y verificación formal. Además, se necesita mejorar la auditoría y la monitorización: además de la auditoría de código general, incorporar un equipo de auditoría matemática profesional y detección en tiempo real de comportamientos de transacciones en cadena, para captar de manera temprana divisiones anormales o préstamos relámpago de gran monto;
Resumen y recomendaciones sobre el mecanismo de garantía de fondos:
En el evento de Cetus, SUI colaboró de manera eficiente con el equipo del proyecto, logrando congelar más de 160 millones de dólares en fondos y promoviendo un plan de compensación del 100%, lo que refleja una fuerte capacidad de respuesta en la cadena y un sentido de responsabilidad ecológica. La Fundación SUI también añadió 10 millones de dólares en fondos de auditoría para fortalecer la línea de defensa de seguridad. En el futuro, se pueden promover aún más sistemas de seguimiento en la cadena, herramientas de seguridad construidas en comunidad, seguros descentralizados y otros mecanismos para mejorar el sistema de garantía de fondos.
La expansión diversificada del ecosistema SUI
SUI ha logrado rápidamente una transición de "nueva cadena" a "ecosistema fuerte" en menos de dos años, construyendo un mapa ecológico diversificado que abarca múltiples vías como stablecoins, DEX, infraestructura, DePIN y juegos. La capitalización total de stablecoins supera los 1,000 millones de dólares, proporcionando una sólida base de liquidez para los módulos DeFi; el TVL ocupa el octavo lugar a nivel mundial, la actividad comercial es la quinta a nivel mundial y el tercero entre las redes no EVM (solo detrás de Bitcoin y Solana), lo que demuestra una fuerte participación de los usuarios y capacidad de acumulación de activos.
1. Una reacción en cadena provocada por un ataque.
El 22 de mayo de 2025, el principal protocolo AMM Cetus desplegado en la red SUI sufrió un ataque de hackers. Los atacantes aprovecharon una vulnerabilidad lógica relacionada con el "problema de desbordamiento de enteros" para llevar a cabo un control preciso, lo que resultó en pérdidas de más de 200 millones de dólares en activos. Este incidente no solo es uno de los mayores accidentes de seguridad en el ámbito DeFi hasta la fecha este año, sino que también se ha convertido en el ataque hacker más destructivo desde el lanzamiento de la mainnet de SUI.
Según los datos de DefiLlama, el TVL total de SUI en la cadena cayó drásticamente más de 330 millones de dólares el día del ataque, y la cantidad bloqueada del protocolo Cetus se evaporó instantáneamente en un 84%, cayendo a 38 millones de dólares. Como consecuencia, varios tokens populares en SUI (incluidos Lofi, Sudeng, Squirtle, entre otros) cayeron entre un 76% y un 97% en solo una hora, lo que provocó una amplia preocupación en el mercado sobre la seguridad de SUI y la estabilidad de su ecosistema.
Pero después de esta ola de impacto, el ecosistema SUI ha demostrado una gran resiliencia y capacidad de recuperación. A pesar de que el evento de Cetus provocó una fluctuación de confianza a corto plazo, los fondos en la cadena y la actividad de los usuarios no han experimentado un declive sostenido, sino que han impulsado un aumento significativo en la atención hacia la seguridad, la construcción de infraestructura y la calidad de los proyectos en todo el ecosistema.
Klein Labs se centrará en las causas de este incidente de ataque, el mecanismo de consenso de nodos de SUI, la seguridad del lenguaje MOVE y el desarrollo ecológico de SUI, para analizar el actual ecosistema de esta cadena pública que aún se encuentra en una etapa temprana de desarrollo y explorar su potencial de desarrollo futuro.
2. Análisis de las causas del ataque al evento Cetus
2.1 Proceso de implementación del ataque
Según el análisis técnico del equipo de Slow Mist sobre el ataque a Cetus, los hackers aprovecharon con éxito una vulnerabilidad crítica de desbordamiento aritmético en el protocolo, utilizando préstamos relámpago, manipulación de precios precisa y defectos en el contrato, robando más de 200 millones de dólares en activos digitales en un corto período de tiempo. La ruta del ataque se puede dividir aproximadamente en las siguientes tres etapas:
①Iniciar un préstamo relámpago, manipular el precio
Los hackers primero utilizan un intercambio relámpago con el deslizamiento máximo de 100 mil millones de haSUI a través de un préstamo relámpago, prestando grandes cantidades de fondos para manipular precios.
El préstamo relámpago permite a los usuarios pedir prestado y devolver fondos en una misma transacción, pagando solo una tarifa, y presenta características de alto apalancamiento, bajo riesgo y bajo costo. Los hackers aprovecharon este mecanismo para reducir rápidamente el precio del mercado y controlarlo con precisión dentro de un rango muy estrecho.
Luego, el atacante se prepara para crear una posición de liquidez extremadamente estrecha, estableciendo el rango de precios con precisión entre la oferta más baja de 300,000 y la más alta de 300,200, con un ancho de precio de solo 1.00496621%.
A través de la forma anterior, los hackers utilizaron una cantidad suficiente de tokens y una gran liquidez para manipular con éxito el precio de haSUI. Luego, también manipularon varios tokens sin valor real.
②Agregar liquidez
El atacante crea posiciones de liquidez estrechas, declara que añade liquidez, pero debido a un fallo en la función checked_shlw, al final solo recibe 1 token.
En esencia, se debe a dos razones:
Configuración de máscara demasiado amplia: equivale a un límite de adición de liquidez extremadamente grande, lo que hace que la verificación de la entrada del usuario en el contrato sea prácticamente inútil. Los hackers, al establecer parámetros anómalos, construyen entradas que siempre son menores que este límite, eludiendo así la detección de desbordamiento.
Desbordamiento de datos truncado: Al realizar la operación de desplazamiento n << 64 en el valor n, se produjo un truncamiento de datos debido a que el desplazamiento excedió el ancho de bit efectivo del tipo de dato uint256 (256 bits). La parte de desbordamiento alto se descartó automáticamente, lo que llevó a que el resultado de la operación fuera muy inferior al esperado, haciendo que el sistema subestimara la cantidad de haSUI necesaria para el intercambio. El resultado final del cálculo fue aproximadamente inferior a 1, pero debido a que se redondeó hacia arriba, el resultado final fue igual a 1, es decir, el hacker solo necesitaba agregar 1 token para poder intercambiar una gran cantidad de liquidez.
③Retirar liquidez
Realizar el reembolso del préstamo relámpago y conservar enormes ganancias. Finalmente, retirar activos de tokens con un valor total de varios cientos de millones de dólares de múltiples grupos de liquidez.
La situación de pérdida de fondos es grave, el ataque ha llevado al robo de los siguientes activos:
12.9 millones de SUI (aproximadamente 54 millones de dólares)
6000万美元 USDC
490 millones de dólares Haedal Staked SUI
1950万美元 TOILET
Otros tokens como HIPPO y LOFI cayeron un 75--80%, la liquidez se agotó.
2.2 Causas y características de esta vulnerabilidad
La vulnerabilidad de Cetus tiene tres características:
Costo de reparación extremadamente bajo: por un lado, la causa raíz del evento Cetus es una omisión en la biblioteca matemática de Cetus, y no un error en el mecanismo de precios del protocolo o en la arquitectura subyacente. Por otro lado, la vulnerabilidad está limitada únicamente a Cetus y no tiene relación con el código de SUI. La raíz de la vulnerabilidad se encuentra en una condición de límite; solo se necesita modificar dos líneas de código para eliminar completamente el riesgo; una vez finalizada la reparación, se puede implementar de inmediato en la red principal, asegurando que la lógica del contrato posterior sea completa y eliminando dicha vulnerabilidad.
Alta opacidad: El contrato ha estado funcionando de manera estable y sin fallos durante dos años desde su lanzamiento. Cetus Protocol ha realizado múltiples auditorías, pero no se han encontrado vulnerabilidades. La razón principal es que la biblioteca Integer_Mate, utilizada para cálculos matemáticos, no fue incluida en el alcance de la auditoría.
Los hackers utilizan valores extremos para construir con precisión intervalos de transacción, creando escenarios extremadamente raros con alta liquidez que desencadenan lógicas anómalas, lo que indica que este tipo de problemas es difícil de detectar mediante pruebas ordinarias. Estos problemas a menudo se encuentran en zonas muertas de la percepción humana, por lo que permanecen latentes durante mucho tiempo antes de ser descubiertos.
No es un problema exclusivo de Move:
Move es superior a varios lenguajes de contratos inteligentes en seguridad de recursos y verificación de tipos, e incorpora detección nativa de problemas de desbordamiento de enteros en situaciones comunes. Este desbordamiento ocurrió porque al agregar liquidez se utilizó un valor incorrecto para la verificación del límite superior al calcular la cantidad de tokens requeridos, y se utilizó una operación de desplazamiento en lugar de la operación de multiplicación convencional. Si se utilizaran operaciones convencionales de suma, resta, multiplicación y división, Move comprobaría automáticamente las situaciones de desbordamiento, evitando así problemas de truncamiento de bits altos.
Vulnerabilidades similares también han aparecido en otros lenguajes (como Solidity, Rust), y pueden ser más fácilmente explotadas debido a su falta de protección contra desbordamientos de enteros; antes de la actualización de la versión de Solidity, la verificación de desbordamientos era muy débil. Históricamente, ha habido desbordamientos en adiciones, sustracciones, multiplicaciones, etc., y la causa directa es que el resultado de la operación supera el rango. Por ejemplo, las vulnerabilidades en los contratos inteligentes BEC y SMT del lenguaje Solidity lograron eludir las declaraciones de verificación en el contrato mediante parámetros meticulosamente diseñados, logrando así transferencias excesivas para llevar a cabo ataques.
3. Mecanismo de consenso de SUI
3.1 Introducción al mecanismo de consenso SUI
Resumen:
SUI adopta un marco de Prueba de Participación Delegada (DeleGated Proof of Stake, abreviado DPoS). Aunque el mecanismo DPoS puede aumentar el rendimiento de las transacciones, no puede proporcionar un alto grado de descentralización como PoW (Prueba de Trabajo). Por lo tanto, el grado de descentralización de SUI es relativamente bajo, el umbral de gobernanza es relativamente alto, y los usuarios comunes tienen dificultades para influir directamente en la gobernanza de la red.
Número promedio de validadores: 106
Promedio de ciclo de Epoch: 24 horas
Mecanismo de flujo:
Delegación de derechos: Los usuarios comunes no necesitan ejecutar nodos por su cuenta, solo tienen que apostar SUI y delegarlo a los validadores candidatos para participar en la garantía de seguridad de la red y la distribución de recompensas. Este mecanismo puede reducir la barrera de entrada para los usuarios comunes, permitiéndoles participar en el consenso de la red "contratando" validadores de confianza. Esta es también una gran ventaja del DPoS en comparación con el PoS tradicional.
Representa el ciclo de creación de bloques: un pequeño número de validadores seleccionados producen bloques en un orden fijo o aleatorio, lo que mejora la velocidad de confirmación y aumenta el TPS.
Elección dinámica: Al final de cada ciclo de conteo, se realiza una rotación dinámica y se reelige el conjunto de Validadores según el peso de los votos, asegurando la vitalidad de los nodos, la consistencia de intereses y la descentralización.
Ventajas de DPoS:
Alta eficiencia: Debido a que el número de nodos de generación de bloques es controlable, la red puede completar la confirmación en milisegundos, satisfaciendo así la demanda de alto TPS.
Bajo costo: Menos nodos participan en el consenso, lo que reduce significativamente el ancho de banda de red y los recursos computacionales necesarios para la sincronización de información y la agregación de firmas. Esto resulta en una disminución de los costos de hardware y operación, así como en menores requisitos de potencia de cálculo, lo que reduce los costos. Finalmente, se logra una tarifa de usuario más baja.
Alta seguridad: el mecanismo de staking y delegación amplifica simultáneamente el costo y el riesgo de los ataques; junto con el mecanismo de confiscación en cadena, se inhiben eficazmente los comportamientos maliciosos.
Al mismo tiempo, en el mecanismo de consenso de SUI, se utiliza un algoritmo basado en BFT (tolerancia a fallos bizantinos), que requiere que más de dos tercios de los votos de los validadores estén de acuerdo para confirmar una transacción. Este mecanismo asegura que, incluso si algunos nodos actúan mal, la red puede seguir funcionando de manera segura y eficiente. Para realizar cualquier actualización o toma de decisiones importante, también se requiere que más de dos tercios de los votos estén a favor para que se implemente.
En esencia, el DPoS es una forma de triángulo imposible.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
8 me gusta
Recompensa
8
5
Compartir
Comentar
0/400
BitcoinDaddy
· hace15h
¡Sui puede manejarlo! ¡Organizar!
Ver originalesResponder0
0xTherapist
· hace15h
Todavía está aquí lavándose, cex es el futuro.
Ver originalesResponder0
MechanicalMartel
· hace15h
Mala calidad, Posición completa en español y ya está.
Ver originalesResponder0
rug_connoisseur
· hace15h
¿Sí o no? Primero, aprovechémoslo.
Ver originalesResponder0
MetaverseVagabond
· hace15h
Tsk tsk, DPoS aún nos salvó, de lo contrario, habría explotado el suelo.
Análisis de los mecanismos de seguridad y el potencial de crecimiento a largo plazo del ecosistema SUI frente a ataques.
Creencia firme después de la crisis de seguridad: ¿por qué SUI aún tiene el potencial de subir a largo plazo?
TL;DR
El ataque se debe a la falta de verificación de límites en las funciones aritméticas del protocolo Cetus------una vulnerabilidad lógica causada por una máscara demasiado amplia y un desbordamiento de desplazamiento, que no está relacionada con el modelo de seguridad de recursos de la cadena SUI o el lenguaje Move. La vulnerabilidad se puede solucionar con "una línea de verificación de límites" y no afecta la seguridad central de todo el ecosistema.
Aunque SUI tiene una ligera tendencia a la centralización al adoptar funciones como rondas de validadores DPoS y congelación de listas negras, esto ha demostrado ser útil en la respuesta a eventos de CETUS: los validadores sincronizaron rápidamente las direcciones maliciosas a la Deny List, rechazando empaquetar las transacciones relacionadas, lo que resultó en la congelación instantánea de más de 160 millones de dólares en fondos. Esto es esencialmente una forma activa de "keynesianismo en cadena", donde el control macroeconómico efectivo tiene un efecto positivo en el sistema económico.
Matemáticas y validación de límites: Introducir afirmaciones de límites superiores e inferiores para todas las operaciones aritméticas clave (como desplazamientos, multiplicaciones y divisiones), y realizar fuzzing de valores extremos y verificación formal. Además, se necesita mejorar la auditoría y la monitorización: además de la auditoría de código general, incorporar un equipo de auditoría matemática profesional y detección en tiempo real de comportamientos de transacciones en cadena, para captar de manera temprana divisiones anormales o préstamos relámpago de gran monto;
En el evento de Cetus, SUI colaboró de manera eficiente con el equipo del proyecto, logrando congelar más de 160 millones de dólares en fondos y promoviendo un plan de compensación del 100%, lo que refleja una fuerte capacidad de respuesta en la cadena y un sentido de responsabilidad ecológica. La Fundación SUI también añadió 10 millones de dólares en fondos de auditoría para fortalecer la línea de defensa de seguridad. En el futuro, se pueden promover aún más sistemas de seguimiento en la cadena, herramientas de seguridad construidas en comunidad, seguros descentralizados y otros mecanismos para mejorar el sistema de garantía de fondos.
SUI ha logrado rápidamente una transición de "nueva cadena" a "ecosistema fuerte" en menos de dos años, construyendo un mapa ecológico diversificado que abarca múltiples vías como stablecoins, DEX, infraestructura, DePIN y juegos. La capitalización total de stablecoins supera los 1,000 millones de dólares, proporcionando una sólida base de liquidez para los módulos DeFi; el TVL ocupa el octavo lugar a nivel mundial, la actividad comercial es la quinta a nivel mundial y el tercero entre las redes no EVM (solo detrás de Bitcoin y Solana), lo que demuestra una fuerte participación de los usuarios y capacidad de acumulación de activos.
1. Una reacción en cadena provocada por un ataque.
El 22 de mayo de 2025, el principal protocolo AMM Cetus desplegado en la red SUI sufrió un ataque de hackers. Los atacantes aprovecharon una vulnerabilidad lógica relacionada con el "problema de desbordamiento de enteros" para llevar a cabo un control preciso, lo que resultó en pérdidas de más de 200 millones de dólares en activos. Este incidente no solo es uno de los mayores accidentes de seguridad en el ámbito DeFi hasta la fecha este año, sino que también se ha convertido en el ataque hacker más destructivo desde el lanzamiento de la mainnet de SUI.
Según los datos de DefiLlama, el TVL total de SUI en la cadena cayó drásticamente más de 330 millones de dólares el día del ataque, y la cantidad bloqueada del protocolo Cetus se evaporó instantáneamente en un 84%, cayendo a 38 millones de dólares. Como consecuencia, varios tokens populares en SUI (incluidos Lofi, Sudeng, Squirtle, entre otros) cayeron entre un 76% y un 97% en solo una hora, lo que provocó una amplia preocupación en el mercado sobre la seguridad de SUI y la estabilidad de su ecosistema.
Pero después de esta ola de impacto, el ecosistema SUI ha demostrado una gran resiliencia y capacidad de recuperación. A pesar de que el evento de Cetus provocó una fluctuación de confianza a corto plazo, los fondos en la cadena y la actividad de los usuarios no han experimentado un declive sostenido, sino que han impulsado un aumento significativo en la atención hacia la seguridad, la construcción de infraestructura y la calidad de los proyectos en todo el ecosistema.
Klein Labs se centrará en las causas de este incidente de ataque, el mecanismo de consenso de nodos de SUI, la seguridad del lenguaje MOVE y el desarrollo ecológico de SUI, para analizar el actual ecosistema de esta cadena pública que aún se encuentra en una etapa temprana de desarrollo y explorar su potencial de desarrollo futuro.
2. Análisis de las causas del ataque al evento Cetus
2.1 Proceso de implementación del ataque
Según el análisis técnico del equipo de Slow Mist sobre el ataque a Cetus, los hackers aprovecharon con éxito una vulnerabilidad crítica de desbordamiento aritmético en el protocolo, utilizando préstamos relámpago, manipulación de precios precisa y defectos en el contrato, robando más de 200 millones de dólares en activos digitales en un corto período de tiempo. La ruta del ataque se puede dividir aproximadamente en las siguientes tres etapas:
①Iniciar un préstamo relámpago, manipular el precio
Los hackers primero utilizan un intercambio relámpago con el deslizamiento máximo de 100 mil millones de haSUI a través de un préstamo relámpago, prestando grandes cantidades de fondos para manipular precios.
El préstamo relámpago permite a los usuarios pedir prestado y devolver fondos en una misma transacción, pagando solo una tarifa, y presenta características de alto apalancamiento, bajo riesgo y bajo costo. Los hackers aprovecharon este mecanismo para reducir rápidamente el precio del mercado y controlarlo con precisión dentro de un rango muy estrecho.
Luego, el atacante se prepara para crear una posición de liquidez extremadamente estrecha, estableciendo el rango de precios con precisión entre la oferta más baja de 300,000 y la más alta de 300,200, con un ancho de precio de solo 1.00496621%.
A través de la forma anterior, los hackers utilizaron una cantidad suficiente de tokens y una gran liquidez para manipular con éxito el precio de haSUI. Luego, también manipularon varios tokens sin valor real.
②Agregar liquidez
El atacante crea posiciones de liquidez estrechas, declara que añade liquidez, pero debido a un fallo en la función checked_shlw, al final solo recibe 1 token.
En esencia, se debe a dos razones:
Configuración de máscara demasiado amplia: equivale a un límite de adición de liquidez extremadamente grande, lo que hace que la verificación de la entrada del usuario en el contrato sea prácticamente inútil. Los hackers, al establecer parámetros anómalos, construyen entradas que siempre son menores que este límite, eludiendo así la detección de desbordamiento.
Desbordamiento de datos truncado: Al realizar la operación de desplazamiento n << 64 en el valor n, se produjo un truncamiento de datos debido a que el desplazamiento excedió el ancho de bit efectivo del tipo de dato uint256 (256 bits). La parte de desbordamiento alto se descartó automáticamente, lo que llevó a que el resultado de la operación fuera muy inferior al esperado, haciendo que el sistema subestimara la cantidad de haSUI necesaria para el intercambio. El resultado final del cálculo fue aproximadamente inferior a 1, pero debido a que se redondeó hacia arriba, el resultado final fue igual a 1, es decir, el hacker solo necesitaba agregar 1 token para poder intercambiar una gran cantidad de liquidez.
③Retirar liquidez
Realizar el reembolso del préstamo relámpago y conservar enormes ganancias. Finalmente, retirar activos de tokens con un valor total de varios cientos de millones de dólares de múltiples grupos de liquidez.
La situación de pérdida de fondos es grave, el ataque ha llevado al robo de los siguientes activos:
12.9 millones de SUI (aproximadamente 54 millones de dólares)
6000万美元 USDC
490 millones de dólares Haedal Staked SUI
1950万美元 TOILET
Otros tokens como HIPPO y LOFI cayeron un 75--80%, la liquidez se agotó.
2.2 Causas y características de esta vulnerabilidad
La vulnerabilidad de Cetus tiene tres características:
Costo de reparación extremadamente bajo: por un lado, la causa raíz del evento Cetus es una omisión en la biblioteca matemática de Cetus, y no un error en el mecanismo de precios del protocolo o en la arquitectura subyacente. Por otro lado, la vulnerabilidad está limitada únicamente a Cetus y no tiene relación con el código de SUI. La raíz de la vulnerabilidad se encuentra en una condición de límite; solo se necesita modificar dos líneas de código para eliminar completamente el riesgo; una vez finalizada la reparación, se puede implementar de inmediato en la red principal, asegurando que la lógica del contrato posterior sea completa y eliminando dicha vulnerabilidad.
Alta opacidad: El contrato ha estado funcionando de manera estable y sin fallos durante dos años desde su lanzamiento. Cetus Protocol ha realizado múltiples auditorías, pero no se han encontrado vulnerabilidades. La razón principal es que la biblioteca Integer_Mate, utilizada para cálculos matemáticos, no fue incluida en el alcance de la auditoría.
Los hackers utilizan valores extremos para construir con precisión intervalos de transacción, creando escenarios extremadamente raros con alta liquidez que desencadenan lógicas anómalas, lo que indica que este tipo de problemas es difícil de detectar mediante pruebas ordinarias. Estos problemas a menudo se encuentran en zonas muertas de la percepción humana, por lo que permanecen latentes durante mucho tiempo antes de ser descubiertos.
Move es superior a varios lenguajes de contratos inteligentes en seguridad de recursos y verificación de tipos, e incorpora detección nativa de problemas de desbordamiento de enteros en situaciones comunes. Este desbordamiento ocurrió porque al agregar liquidez se utilizó un valor incorrecto para la verificación del límite superior al calcular la cantidad de tokens requeridos, y se utilizó una operación de desplazamiento en lugar de la operación de multiplicación convencional. Si se utilizaran operaciones convencionales de suma, resta, multiplicación y división, Move comprobaría automáticamente las situaciones de desbordamiento, evitando así problemas de truncamiento de bits altos.
Vulnerabilidades similares también han aparecido en otros lenguajes (como Solidity, Rust), y pueden ser más fácilmente explotadas debido a su falta de protección contra desbordamientos de enteros; antes de la actualización de la versión de Solidity, la verificación de desbordamientos era muy débil. Históricamente, ha habido desbordamientos en adiciones, sustracciones, multiplicaciones, etc., y la causa directa es que el resultado de la operación supera el rango. Por ejemplo, las vulnerabilidades en los contratos inteligentes BEC y SMT del lenguaje Solidity lograron eludir las declaraciones de verificación en el contrato mediante parámetros meticulosamente diseñados, logrando así transferencias excesivas para llevar a cabo ataques.
3. Mecanismo de consenso de SUI
3.1 Introducción al mecanismo de consenso SUI
Resumen:
SUI adopta un marco de Prueba de Participación Delegada (DeleGated Proof of Stake, abreviado DPoS). Aunque el mecanismo DPoS puede aumentar el rendimiento de las transacciones, no puede proporcionar un alto grado de descentralización como PoW (Prueba de Trabajo). Por lo tanto, el grado de descentralización de SUI es relativamente bajo, el umbral de gobernanza es relativamente alto, y los usuarios comunes tienen dificultades para influir directamente en la gobernanza de la red.
Número promedio de validadores: 106
Promedio de ciclo de Epoch: 24 horas
Mecanismo de flujo:
Delegación de derechos: Los usuarios comunes no necesitan ejecutar nodos por su cuenta, solo tienen que apostar SUI y delegarlo a los validadores candidatos para participar en la garantía de seguridad de la red y la distribución de recompensas. Este mecanismo puede reducir la barrera de entrada para los usuarios comunes, permitiéndoles participar en el consenso de la red "contratando" validadores de confianza. Esta es también una gran ventaja del DPoS en comparación con el PoS tradicional.
Representa el ciclo de creación de bloques: un pequeño número de validadores seleccionados producen bloques en un orden fijo o aleatorio, lo que mejora la velocidad de confirmación y aumenta el TPS.
Elección dinámica: Al final de cada ciclo de conteo, se realiza una rotación dinámica y se reelige el conjunto de Validadores según el peso de los votos, asegurando la vitalidad de los nodos, la consistencia de intereses y la descentralización.
Ventajas de DPoS:
Alta eficiencia: Debido a que el número de nodos de generación de bloques es controlable, la red puede completar la confirmación en milisegundos, satisfaciendo así la demanda de alto TPS.
Bajo costo: Menos nodos participan en el consenso, lo que reduce significativamente el ancho de banda de red y los recursos computacionales necesarios para la sincronización de información y la agregación de firmas. Esto resulta en una disminución de los costos de hardware y operación, así como en menores requisitos de potencia de cálculo, lo que reduce los costos. Finalmente, se logra una tarifa de usuario más baja.
Alta seguridad: el mecanismo de staking y delegación amplifica simultáneamente el costo y el riesgo de los ataques; junto con el mecanismo de confiscación en cadena, se inhiben eficazmente los comportamientos maliciosos.
Al mismo tiempo, en el mecanismo de consenso de SUI, se utiliza un algoritmo basado en BFT (tolerancia a fallos bizantinos), que requiere que más de dos tercios de los votos de los validadores estén de acuerdo para confirmar una transacción. Este mecanismo asegura que, incluso si algunos nodos actúan mal, la red puede seguir funcionando de manera segura y eficiente. Para realizar cualquier actualización o toma de decisiones importante, también se requiere que más de dos tercios de los votos estén a favor para que se implemente.
En esencia, el DPoS es una forma de triángulo imposible.