المربع
الصفحة الرئيسية
الأحدث
ساخن
رؤى
بث مباشر
الكل
تحليل السوق
أهم المواضيع
سجل Blockchain
آخرون
دردشة
تقويم العملات الرقمية
اخر الأخبار
مدونة
المزيد
دليل المبتدئين
الصفحة الرئيسية
الأحدث
ساخن
رؤى
المنشور

مرونة نظام SUI: تحليل آليات الأمان وإمكانات النمو على المدى الطويل بعد حدث Cetus

BridgeNomadvip

الإيمان الثابت بعد أزمة الأمان: لماذا لا يزال SUI يمتلك إمكانيات نمو طويلة الأجل؟

TL; د

  1. ثغرة Cetus ناتجة عن تنفيذ العقد، وليس عن SUI أو لغة Move نفسها:

ترجع هذه الهجمة بشكل أساسي إلى غياب التحقق من حدود الدوال الرياضية في بروتوكول Cetus------ الثغرة المنطقية الناتجة عن قناع واسع جدًا وانزلاق في الإزاحة، ولا تتعلق بنموذج أمان الموارد في سلسلة SUI أو لغة Move. يمكن إصلاح الثغرة "بخط واحد من التحقق من الحدود"، ولن تؤثر على الأمان الأساسي للنظام البيئي بأكمله.

  1. قيمة "المركزية المعقولة" في آلية SUI تظهر في الأزمات:

على الرغم من أن SUI يعتمد على دورات مصدق DPoS وميزات تجميد القوائم السوداء مما يعكس ميلاً طفيفًا نحو المركزية، إلا أن هذا كان مفيدًا بالضبط في استجابة حدث CETUS: حيث قام المصدقون بسرعة بمزامنة العناوين الخبيثة إلى قائمة الرفض، ورفض حزم المعاملات ذات الصلة، مما أدى إلى تجميد فوري لأكثر من 160 مليون دولار من الأموال. هذه في جوهرها شكل من "الكينزية على السلسلة"، حيث أن التحكم الكلي الفعال له تأثير إيجابي على النظام الاقتصادي.

  1. تأملات واقتراحات حول الأمان التقني:

الرياضيات والتحقق من الحدود: إدخال تأكيدات الحدود القصوى والدنيا لجميع العمليات الحسابية الأساسية (مثل الإزاحة والضرب والقسمة) وإجراء اختبار الفوضى للقيم المتطرفة والتحقق الرسمي. بالإضافة إلى ذلك، من الضروري تعزيز التدقيق والمراقبة: إضافة فريق تدقيق رياضي متخصص وكشف سلوك المعاملات على السلسلة في الوقت الفعلي، لالتقاط التفكيك الشاذ أو القروض الفورية الكبيرة في وقت مبكر؛

  1. ملخص واقتراحات آلية ضمان الأموال:

في حدث Cetus، تعاونت SUI بكفاءة مع الجهة المعنية بالمشروع، ونجحت في تجميد أكثر من 160 مليون دولار، ودفعت خطة تعويض بنسبة 100%، مما يعكس قوة استجابة الشبكة على السلسلة وإحساسها بالمسؤولية البيئية. كما أضافت مؤسسة SUI 10 ملايين دولار كأموال للتدقيق، لتعزيز خط الدفاع الأمني. في المستقبل، يمكن دفع الأنظمة الخاصة بتتبع السلسلة، وأدوات الأمان المشتركة في المجتمع، والتأمين اللامركزي، وغيرها من الآليات، لتحسين نظام ضمان الأموال.

  1. التوسع المتنوع في نظام SUI

SUI حقق قفزة سريعة من "سلسلة جديدة" إلى "نظام بيئي قوي" في أقل من عامين، حيث بنى خريطة بيئية متنوعة تشمل عدة مجالات مثل العملات المستقرة، DEX، البنية التحتية، DePIN، والألعاب. تجاوز الحجم الإجمالي للعملات المستقرة 1 مليار دولار، مما وفر قاعدة سيولة قوية لوحدات DeFi؛ احتل المرتبة الثامنة عالميًا في TVL، والمرتبة الخامسة عالميًا في نشاط التداول، والمرتبة الثالثة بين الشبكات غير EVM (بعد Bitcoin وSolana فقط)، مما يظهر قدرة قوية على المشاركة من المستخدمين وتراكم الأصول.

1. سلسلة ردود الفعل الناجمة عن هجوم واحد

في 22 مايو 2025، تعرض بروتوكول AMM الرائد في شبكة SUI، Cetus، لهجوم قرصنة، حيث استغل المهاجم ثغرة منطقية تتعلق بمشكلة "تجاوز سعة الأعداد الصحيحة"، مما أدى إلى تنفيذ هجوم دقيق تسبب في خسارة أصول تتجاوز 200 مليون دولار. لم تكن هذه الحادثة واحدة من أكبر حوادث الأمان في مجال DeFi حتى الآن هذا العام فحسب، بل أصبحت أيضًا واحدة من أكثر هجمات القراصنة تدميراً منذ إطلاق الشبكة الرئيسية لـ SUI.

وفقًا لبيانات DefiLlama ، انخفض إجمالي القيمة المقفلة (TVL) على سلسلة SUI بشكل حاد يوم الهجوم بأكثر من 330 مليون دولار ، حيث تبخر مبلغ قفل بروتوكول Cetus بنسبة 84٪ في瞬ة واحدة ، ليصل إلى 38 مليون دولار. نتيجة لذلك ، تأثرت العديد من الرموز الساخنة على SUI (بما في ذلك Lofi و Sudeng و Squirtle وما إلى ذلك) بانخفاض يتراوح بين 76٪ و 97٪ في غضون ساعة واحدة ، مما أثار اهتمام السوق بسلامة SUI واستقرار النظام البيئي.

لكن بعد هذه الموجة من الصدمات، أظهر نظام SUI البيئي مرونة وقدرة على التعافي قوية. على الرغم من أن حادثة Cetus قد جلبت تقلبات في الثقة على المدى القصير، لم تشهد الأموال على السلسلة ونشاط المستخدمين تراجعًا مستمرًا، بل على العكس، دفعت النظام البيئي بأكمله إلى التركيز بشكل ملحوظ على الأمان، وبناء البنية التحتية، وجودة المشاريع.

ستقوم Klein Labs بتسليط الضوء على أسباب هذا الهجوم، وآلية توافق العقد في SUI، وأمان لغة MOVE، وتطور نظام SUI البيئي، وستقوم بتحليل الوضع البيئي الحالي لسلسلة الكتل العامة التي لا تزال في مرحلة التطوير المبكر، وتناقش إمكانيات تطورها في المستقبل.

الإيمان الثابت بعد أزمة الأمان: لماذا لا يزال SUI يمتلك إمكانات增长 طويلة الأجل؟

2. تحليل أسباب هجوم Cetus

2.1 تنفيذ الهجوم

وفقًا للتحليل الفني لفريق Slow Fog حول حادثة هجوم Cetus، تمكن القراصنة بنجاح من استغلال ثغرة رئيسية في البروتوكول تتعلق بتجاوز الحسابات، بمساعدة القروض السريعة، وتلاعب دقيق في الأسعار، وعيوب في العقود، مما أدى إلى سرقة أكثر من 200 مليون دولار من الأصول الرقمية في فترة زمنية قصيرة. يمكن تقسيم مسار الهجوم إلى المراحل الثلاث التالية:

①اقتحام القرض السريع، التلاعب بالسعر

استغل القراصنة أولاً الانزلاق الأقصى في تبادل 100 مليار haSUI عبر قرض فوري، واستدانوا مبالغ ضخمة للقيام بعمليات التلاعب بالأسعار.

تسمح القروض السريعة للمستخدمين بالاقتراض وإعادة الأموال في نفس المعاملة، مع دفع الرسوم فقط، وتتميز برافعة مالية عالية، ومخاطر منخفضة، وتكاليف منخفضة. استغل القراصنة هذه الآلية لتقليل أسعار السوق في وقت قصير، وتحكموا بدقة في نطاق ضيق للغاية.

ثم قام المهاجم بإعداد موقف سيولة ضيق للغاية، محددًا نطاق السعر بدقة بين أقل عرض وهو 300,000 وأعلى سعر وهو 300,200، حيث لا يتجاوز عرض السعر 1.00496621%.

من خلال الطريقة المذكورة أعلاه، تمكن المخترقون من السيطرة على سعر haSUI باستخدام كمية كافية من الرموز مع سيولة ضخمة. ثم قاموا بعد ذلك بالتلاعب بعدة رموز بلا قيمة حقيقية.

② إضافة السيولة

أنشأ المهاجمون مراكز سيولة ضيقة، وأعلنوا عن إضافة السيولة، ولكن بسبب وجود ثغرة في دالة checked_shlw، حصلوا في النهاية على 1 رمز فقط.

بشكل أساسي بسبب سببين:

  1. تم إعداد القناع بشكل واسع جدًا: وهذا يعادل حد أقصى كبير جدًا لإضافة السيولة، مما يؤدي إلى أن تكون التحقق من المدخلات من المستخدمين في العقد غير فعالة. استغل القراصنة إعداد معلمات غير طبيعية، مما يضمن أن المدخلات تكون دائمًا أقل من هذا الحد، وبالتالي تم تجاوز فحص التجاوز.

  2. تم قطع تجاوز البيانات: عند تنفيذ عملية الإزاحة n << 64 على القيمة العددية n، حدث قطع للبيانات بسبب تجاوز الإزاحة عرض البت الفعال لنوع البيانات uint256 (256 بت). تم تجاهل الجزء العلوي المتجاوز تلقائيًا، مما أدى إلى نتيجة حسابية أقل بكثير من المتوقع، مما جعل النظام يقدر عدد haSUI المطلوب للتبادل بشكل منخفض. كانت النتيجة النهائية تقريبًا أقل من 1، ولكن نظرًا لأنه تم التقريب للأعلى، كانت النتيجة النهائية تساوي 1، مما يعني أن القراصنة يحتاجون فقط إلى إضافة 1 رمز للحصول على سيولة ضخمة.

③سحب السيولة

قم بسداد القرض الفوري، مع الاحتفاظ بأرباح ضخمة. في النهاية، اسحب قيمة إجمالية تصل إلى مئات الملايين من الدولارات من عدة برك سيولة.

حالة فقدان الأموال خطيرة، الهجوم أدى إلى سرقة الأصول التالية:

  • 12.9 مليون SUI (حوالي 54 مليون دولار)

  • 60,000,000 دولار أمريكي

  • 4.9 مليون دولار أمريكي من شركة Haedal Stakeed SUI

  • مرحاض بقيمة 19.5 مليون دولار

  • انخفضت رموز أخرى مثل HIPPO و LOFI بنسبة 75--80%، وانعدمت السيولة

الإيمان الثابت بعد أزمة الأمان: لماذا لا يزال SUI يمتلك إمكانات نمو طويلة الأجل؟

2.2 أسباب وميزات الثغرة هذه

ثغرة Cetus لها ثلاث ميزات:

  1. تكلفة الإصلاح منخفضة للغاية: من ناحية، السبب الجذري لحدث Cetus هو خلل في مكتبة الرياضيات الخاصة بـ Cetus، وليس خطأ في آلية تسعير البروتوكول أو خطأ في البنية التحتية الأساسية. من ناحية أخرى، فإن الثغرة محدودة فقط في Cetus نفسها، ولا تتعلق بكود SUI. تكمن جذور الثغرة في شرط حدودي، ولا يتطلب الأمر سوى تعديل سطرين من الكود للقضاء تمامًا على المخاطر؛ يمكن نشر الإصلاح على الشبكة الرئيسية على الفور بعد الانتهاء، لضمان اكتمال منطق العقد اللاحق، ومنع هذه الثغرة.

  2. الخصوصية العالية: عمل العقد بسلاسة بدون أي أعطال لمدة عامين منذ إطلاقه، وقد تم إجراء العديد من التدقيقات على بروتوكول سيتوس، لكن لم يتم اكتشاف أي ثغرات، والسبب الرئيسي في ذلك هو أن مكتبة Integer_Mate المستخدمة في الحسابات الرياضية لم تكن مشمولة في نطاق التدقيق.

استغل القراصنة القيم المتطرفة لبناء نطاقات تداول دقيقة، مما أدى إلى إنشاء مشاهد نادرة ذات سيولة عالية جدًا، مما أثار منطقًا غير عادي، مما يدل على أن هذه الأنواع من المشاكل يصعب اكتشافها من خلال الاختبارات العادية. وغالبًا ما تكون هذه المشاكل في منطقة عمياء في رؤية الناس، لذلك تم اكتشافها بعد فترة طويلة من الوقت.

  1. ليست مشكلة خاصة بـ Move:

تتفوق لغة Move على العديد من لغات العقود الذكية في أمان الموارد وفحص الأنواع، حيث تحتوي على اكتشاف أصلي لمشكلة تجاوز العدد في السيناريوهات الشائعة. كان هذا التجاوز بسبب استخدام قيمة خاطئة كحد أعلى عند حساب عدد الرموز المطلوبة عند إضافة السيولة، واستبدال العمليات التقليدية للضرب بعمليات الإزاحة. وإذا كانت العمليات التقليدية للجمع والطرح والضرب والقسمة، فإن Move تتحقق تلقائيًا من حالات التجاوز، ولن يحدث مثل هذه المشكلة في قطع الأرقام العليا.

تشابهت الثغرات في لغات أخرى (مثل Solidity، Rust) وقد تم استغلالها بسهولة أكبر بسبب نقص حماية تجاوز السعة؛ قبل تحديث إصدار Solidity، كانت فحص التجاوز ضعيفة جداً. حدثت تاريخياً تجاوزات في الجمع، وتجاوزات في الطرح، وتجاوزات في الضرب، والسبب المباشر هو أن نتائج العمليات كانت تتجاوز النطاق. على سبيل المثال، الثغرات في عقود BEC و SMT الذكية بلغة Solidity، تم استغلالها من خلال معلمات مصممة بعناية لتجاوز عبارات الفحص في العقد، وتحقيق الهجوم عن طريق تحويلات زائدة.

الإيمان الثابت بعد أزمة الأمان: لماذا لا يزال SUI يمتلك إمكانات طويلة الأجل للارتفاع؟

3. آلية إجماع SUI

3.1 مقدمة عن آلية توافق SUI

ملخص:

SUI تتبنى إطار إثبات الحصة المفوضة (DeleGated Proof of Stake، مختصر DPoS)، على الرغم من أن آلية DPoS يمكن أن تزيد من قدرة معالجة المعاملات، إلا أنها لا تستطيع توفير درجة عالية من اللامركزية مثل PoW (إثبات العمل). لذلك، فإن درجة اللامركزية في SUI منخفضة نسبيًا، وعتبة الحكم مرتفعة نسبيًا، مما يجعل من الصعب على المستخدمين العاديين التأثير مباشرة على حكم الشبكة.

  • متوسط عدد المدققين: 106

  • متوسط فترة الإيبوك: ٢٤ ساعة

آلية العملية:

  • تفويض الحقوق: لا يحتاج المستخدمون العاديون إلى تشغيل عقدة بأنفسهم، فقط يحتاجون إلى رهن SUI وتفويضها إلى المترشحين للتحقق، ليتمكنوا من المشاركة في ضمان أمان الشبكة وتوزيع المكافآت. يمكن أن تقلل هذه الآلية من عتبة المشاركة للمستخدمين العاديين، مما يسمح لهم بالمشاركة في توافق الشبكة من خلال "توظيف" المترشحين الموثوقين. هذه أيضا واحدة من المزايا العديدة لـ DPoS مقارنة بـ PoS التقليدي.

  • تمثل جولات الإنتاج: يقوم عدد قليل من المدققين المختارين بإنتاج الكتل بترتيب ثابت أو عشوائي، مما يعزز سرعة التأكيد ويزيد من TPS.

  • الانتخابات الديناميكية: بعد انتهاء كل دورة فرز، يتم إجراء تبديل ديناميكي وإعادة انتخاب مجموعة Validators بناءً على وزن التصويت، لضمان حيوية العقد، وتوافق المصالح، واللامركزية.

مزايا DPoS:

  • كفاءة عالية: نظرًا لعدد عقد التحقق القابلة للتحكم، يمكن للشبكة إتمام التأكيد في مستوى مللي ثانية، مما يلبي احتياجات TPS العالية.

  • تكلفة منخفضة: عدد العقد المشاركة في الإجماع أقل ، مما يؤدي إلى تقليل عرض النطاق الترددي والموارد الحسابية المطلوبة لمزامنة المعلومات وتجميع التوقيعات بشكل ملحوظ. وبالتالي تنخفض تكاليف الأجهزة والصيانة ، وتقل متطلبات قوة الحوسبة ، مما يؤدي إلى انخفاض التكاليف. في النهاية ، يتم تحقيق رسوم معاملات منخفضة للمستخدم.

  • أمان عالي: تجعل آلية الرهن والتفويض تكلفة الهجوم والمخاطر تتضخم بالتوازي؛ ومع آلية مصادرة على السلسلة، فإنها تكبح السلوكيات الضارة بشكل فعال.

في الوقت نفسه، تعتمد آلية إجماع SUI على خوارزمية قائمة على BFT (تحمل الأخطاء البيزنطية)، مما يتطلب أن يتفق أكثر من ثلثي الأصوات بين الموثقين لتأكيد المعاملات. تضمن هذه الآلية أنه حتى لو أفسد عدد قليل من العقد، يمكن أن يظل الشبكة آمنة وتعمل بكفاءة. عند إجراء أي ترقية أو اتخاذ قرارات كبيرة، يتطلب أيضًا أن يتم التصويت من قبل أكثر من ثلثي الأصوات لتنفيذ ذلك.

من الناحية الجوهرية، فإن DPoS هو في الواقع حل وسط لنظرية "مثلث المستحيل"، حيث تم إجراء تسوية بين اللامركزية والكفاءة. في "مثلث المستحيل" الخاص بالأمان واللامركزية والقابلية للتوسع، يختار DPoS تقليل عدد عقد التحقق النشطة من أجل الحصول على أداء أعلى.

شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
  • أعجبني
  • 5
  • مشاركة
تعليق
0/400
Rugman_Walkingvip
· 07-19 04:16
هل يجب إلقاء اللوم على البلوكتشين عندما يحدث خطأ في الكود؟ لا تلقي اللوم في المكان الخطأ!
شاهد النسخة الأصليةرد0
DuckFluffvip
· 07-19 04:14
زق، لقد تم إصلاح هذا الخطأ، سأستمر في العمل يا بطتي
شاهد النسخة الأصليةرد0
DefiEngineerJackvip
· 07-19 04:09
*sigh* من الناحية الفنية، كان من الممكن أن يمنع فحص الحدود هذا. مبتدئون.
شاهد النسخة الأصليةرد0
TokenTherapistvip
· 07-19 04:00
لا تخدعني، سوي أساسه مستقر جداً
شاهد النسخة الأصليةرد0
ImaginaryWhalevip
· 07-19 03:55
شاهدت الاتجاهات تلعب في سوي ، إذا كان هناك أي شيء ، فقط اتركه.
شاهد النسخة الأصليةرد0
  • تثبيت
خريطة الموقع