المربع
الصفحة الرئيسية
الأحدث
ساخن
رؤى
بث مباشر
الكل
تحليل السوق
أهم المواضيع
سجل Blockchain
آخرون
دردشة
تقويم العملات الرقمية
اخر الأخبار
مدونة
المزيد
دليل المبتدئين
الصفحة الرئيسية
الأحدث
ساخن
رؤى
المنشور

تأملات عميقة بعد حادثة هجوم SUI: تحليل آليات الأمان، ومرونة النظام البيئي، وإمكانات التنمية على المدى الطويل

MoneyBurnervip

الإيمان القوي بعد أزمة الأمان: لماذا لا يزال SUI يمتلك إمكانيات النمو على المدى الطويل؟

TL; د

  1. ثغرة Cetus ناتجة عن تنفيذ العقد، وليس من SUI أو لغة Move نفسها:

الهجوم الحالي يتعلق بشكل أساسي بغياب فحص الحدود في الدوال الحسابية لبروتوكول Cetus ------ ثغرة منطقية ناتجة عن استخدام قناع واسع جدًا وزيادة الإزاحة، وليس لها علاقة بنموذج أمان الموارد في سلسلة SUI أو لغة Move. يمكن إصلاح الثغرة بـ "فحص حدود في سطر واحد"، دون التأثير على الأمان الأساسي للنظام البيئي بأكمله.

  1. تظهر قيمة "التمركز المعقول" في آلية SUI في الأزمات:

على الرغم من أن SUI تعتمد على دورات مصدق DPoS وميزات تجميد القائمة السوداء، مما يظهر اتجاهًا خفيفًا نحو المركزية، إلا أن هذا كان مفيدًا بالضبط في استجابة حدث CETUS: حيث قام المصدقون بسرعة بمزامنة العناوين الضارة إلى قائمة الرفض، ورفض حزم المعاملات ذات الصلة، مما أدى إلى تجميد فوري لأكثر من 1.6 مليار دولار. هذه في جوهرها نوع من "الكينزية على السلسلة"، حيث كان للتحكم الفعال في الاقتصاد تأثير إيجابي على النظام الاقتصادي.

  1. تأملات واقتراحات بشأن الأمان التقني:

الرياضيات والتحقق من الحدود: إدخال تأكيدات الحد الأعلى والحد الأدنى لجميع العمليات الحسابية الأساسية (مثل الإزاحة والضرب والقسمة) ، وإجراء اختبار القيم المتطرفة والتحقق الرسمي. بالإضافة إلى ذلك ، هناك حاجة لتعزيز التدقيق والمراقبة: بالإضافة إلى تدقيق الكود العام ، يجب إضافة فريق تدقيق رياضي محترف واكتشاف سلوك المعاملات على السلسلة في الوقت الحقيقي ، لالتقاط الانقسامات غير الطبيعية أو القروض السريعة الكبيرة في وقت مبكر.

  1. ملخص واقتراحات بشأن آلية ضمان الأموال:

في حدث Cetus، تعاونت SUI بكفاءة مع فريق المشروع، ونجحت في تجميد أكثر من 1.6 مليار دولار من الأموال، ودعمت خطة تعويض بنسبة 100%، مما يعكس قوة استجابة سلسلة الكتل وإحساسها بالمسؤولية البيئية. كما زادت مؤسسة SUI من أموال التدقيق بمقدار 10 ملايين دولار لتعزيز خطوط الأمان. يمكن في المستقبل دفع أنظمة تتبع سلسلة الكتل، وأدوات الأمان المشتركة في المجتمع، وتأمين غير مركزي وغيرها من الآليات، لتحسين نظام حماية الأموال.

  1. التوسع المتنوع في نظام SUI

سوي حقق في أقل من عامين انتقالًا سريعًا من "سلسلة جديدة" إلى "نظام بيئي قوي"، حيث بنى خريطة بيئية متنوعة تشمل عدة مجالات مثل العملات المستقرة، DEX، البنية التحتية، DePIN، والألعاب. تجاوز الحجم الإجمالي للعملات المستقرة 1 مليار دولار، مما وفر أساسًا قويًا للسيولة لوحدات DeFi؛ احتل TVL المرتبة الثامنة عالميًا، وكان نشاط التداول في المرتبة الخامسة عالميًا، والمرتبة الثالثة في الشبكات غير EVM (بعد Bitcoin وSolana فقط)، مما يدل على مشاركة قوية من المستخدمين وقدرة على تراكم الأصول.

الإيمان الثابت بعد أزمة الأمان: لماذا لا يزال SUI يمتلك إمكانيات نمو طويلة الأجل؟

1. سلسلة ردود الفعل الناتجة عن هجوم واحد

في 22 مايو 2025، تعرض بروتوكول AMM الرائد Cetus، الذي تم نشره على شبكة SUI، لهجوم هاكر. استغل المهاجم ثغرة منطقية مرتبطة بـ"مشكلة تجاوز السعة العددية" لشن هجوم دقيق، مما أدى إلى خسائر تقدر بأكثر من 200 مليون دولار. لم يكن هذا الحدث فقط واحدًا من أكبر الحوادث الأمنية في مجال DeFi حتى الآن هذا العام، بل أصبح أيضًا أكثر الهجمات الإلكترونية تدميرًا منذ إطلاق الشبكة الرئيسية SUI.

وفقًا لبيانات DefiLlama، انخفض إجمالي القيمة المقفلة (TVL) لشبكة SUI بأكثر من 330 مليون دولار في يوم وقوع الهجوم، حيث تبخر مبلغ 84% من قفل بروتوكول Cetus في瞬ة ليصل إلى 38 مليون دولار. ونتيجة لذلك، تأثرت العديد من الرموز الشهيرة على شبكة SUI (بما في ذلك Lofi وSudeng وSquirtle) بانخفاض بنسبة 76% إلى 97% في غضون ساعة واحدة، مما أثار قلق السوق بشأن أمان SUI واستقرار النظام البيئي.

لكن بعد هذه الموجة من الصدمات، أظهر نظام SUI البيئي مرونة قوية وقدرة على التعافي. على الرغم من أن حادثة Cetus أدت إلى تقلبات في الثقة على المدى القصير، إلا أن الأموال على السلسلة ونشاط المستخدمين لم يتعرضا لانخفاض مستمر، بل على العكس، حفزت هذه الأحداث زيادة ملحوظة في الاهتمام بالأمان وبناء البنية التحتية وجودة المشاريع.

ستقوم شركة Klein Labs بتسليط الضوء على أسباب حادث الهجوم، وآلية توافق العقد في SUI، وأمان لغة MOVE، وتطور النظام البيئي لـ SUI، حيث ستقوم بتوضيح الهيكل البيئي الحالي لهذه السلسلة العامة التي لا تزال في مرحلة التطوير المبكر، ومناقشة إمكانيات تطويرها المستقبلية.

الإيمان الثابت بعد أزمة الأمان: لماذا لا يزال SUI يمتلك إمكانيات نمو طويلة الأمد؟

2. تحليل أسباب هجوم Cetus

2.1 عملية تنفيذ الهجوم

وفقًا للتحليل الفني لفريق Slow Mist حول حادثة هجوم Cetus، تمكن القراصنة من استغلال ثغرة رئيسية في البروتوكول تتعلق بتجاوز حسابي، مستفيدين من القروض السريعة، وتلاعب دقيق في الأسعار، وعيوب في العقود، وسرقوا أكثر من 200 مليون دولار من الأصول الرقمية في فترة زمنية قصيرة. يمكن تقسيم مسار الهجوم تقريبًا إلى المراحل الثلاث التالية:

①قم بإطلاق القرض السريع، وتلاعب بالسعر

قام القراصنة أولاً باستخدام أقصى انزلاق لتبادل 100 مليار haSUI من القرض السريع، واستعارة كميات كبيرة من الأموال، للقيام بالتلاعب في الأسعار.

تسمح القروض السريعة للمستخدمين بالاقتراض وإعادة الأموال في نفس الصفقة، مع دفع رسوم فقط، وتتميز بالرافعة المالية العالية، والمخاطر المنخفضة، والتكلفة المنخفضة. استغل القراصنة هذه الآلية لخفض أسعار السوق في فترة زمنية قصيرة، وتحكموا بدقة في نطاق ضيق جداً.

ثم قام المهاجم بإعداد إنشاء مركز سيولة ضيق للغاية، حيث تم تحديد نطاق السعر بدقة بين أقل عرض 300,000 وأعلى سعر 300,200، بعرض سعر لا يتجاوز 1.00496621%.

من خلال الطرق المذكورة أعلاه، تمكن القراصنة من استخدام عدد كافٍ من الرموز وسوق كبير للتلاعب بسعر haSUI. بعد ذلك، قاموا بالتلاعب بعدة رموز بلا قيمة فعلية.

②إضافة السيولة

أنشأ المهاجمون مراكز سيولة ضيقة، زاعمين أنهم أضافوا سيولة، ولكن بسبب وجود ثغرة في دالة checked_shlw، حصلوا في النهاية على 1 توكن فقط.

هذا أساسًا بسبب سببين:

  1. إعداد القناع واسع جدًا: يعادل حدًا كبيرًا جدًا لإضافة السيولة، مما يؤدي إلى عدم فعالية التحقق من المدخلات من قبل المستخدم في العقد. قام القراصنة بتعيين معلمات غير طبيعية، وبناء مدخلات تكون دائمًا أقل من هذا الحد، متجاوزين بذلك فحص الفائض.

  2. تم قطع تجاوز البيانات: عند تنفيذ عملية الإزاحة n << 64 على القيمة العددية n، حدث قطع للبيانات بسبب تجاوز الإزاحة عرض البت الفعال لنوع البيانات uint256 (256 بت). تم التخلص من الجزء الزائد في البتات العليا تلقائيًا، مما أدى إلى أن تكون نتيجة الحساب أقل بكثير من المتوقع، مما جعل النظام يقدر عدد haSUI المطلوب للتبادل بشكل غير دقيق. كانت النتيجة النهائية أقل بقليل من 1، ولكن نظرًا لأن النتيجة كانت تتم بواسطة التقريب للأعلى، فإن النتيجة النهائية كانت تساوي 1، مما يعني أن القراصنة يحتاجون فقط لإضافة 1 توكن ليتمكنوا من استبدال السيولة الكبيرة.

③سحب السيولة

قم بسداد القرض السريع، واحتفظ بأرباح ضخمة. في النهاية، اسحب أصول الرموز التي تصل قيمتها الإجمالية إلى مئات الملايين من الدولارات من عدة برك سيولة.

حالة فقدان الأموال خطيرة، الهجوم أدى إلى سرقة الأصول التالية:

  • 12.9 مليون SUI (حوالي 54 مليون دولار)

  • 60,000,000 دولار أمريكي

  • 4.9 مليون دولار أمريكي من شركة Haedal Stakeed SUI

  • مرحاض بقيمة 19.5 مليون دولار

  • انخفضت العملات الأخرى مثل HIPPO و LOFI بنسبة 75--80%، وانعدمت السيولة

الإيمان الثابت بعد أزمة الأمان: لماذا لا يزال SUI يمتلك إمكانية الارتفع على المدى الطويل؟

2.2 أسباب وخصائص الثغرة هذه

تتميز ثغرة Cetus هذه بثلاث خصائص:

  1. تكلفة الإصلاح منخفضة جداً: من ناحية، السبب الجذري لحدث Cetus هو خطأ في مكتبة الرياضيات الخاصة بـ Cetus، وليس خطأ في آلية التسعير للبروتوكول أو خطأ في البنية التحتية الأساسية. من ناحية أخرى، فإن الثغرة مقتصرة فقط على Cetus نفسها، ولا علاقة لها بكود SUI. تكمن جذور الثغرة في شرط حدودي واحد، ما يتطلب تعديل سطرين من الكود فقط للقضاء على المخاطر تماماً؛ بعد الانتهاء من الإصلاح، يمكن نشره فوراً على الشبكة الرئيسية، وضمان اكتمال منطق العقود المستقبلية، ومنع هذه الثغرة.

  2. ارتفاع الخفاء: لقد عمل العقد بسلاسة لمدة عامين دون أي أعطال، وقد أجرت بروتوكول Cetus العديد من التدقيقات، ولكن لم يتم اكتشاف أي ثغرات، والسبب الرئيسي هو أن مكتبة Integer_Mate المستخدمة في الحسابات الرياضية لم تكن مشمولة في نطاق التدقيق.

استغل القراصنة القيم المتطرفة لبناء نطاقات تداول بدقة، مما أدى إلى تقديم مشاهد نادرة ذات سيولة عالية للغاية، مما أثار منطقًا استثنائيًا، مما يدل على أن هذه الأنواع من المشكلات يصعب اكتشافها من خلال الاختبارات العادية. وغالبًا ما تكون هذه المشكلات في مناطق عمياء في رؤى الناس، لذا تم اكتشافها بعد فترة طويلة.

  1. ليست مشكلة خاصة بـ Move:

تتفوق Move على العديد من لغات العقود الذكية في أمان الموارد وفحص الأنواع، حيث تحتوي على كشف أصلي لمشكلة تجاوز الأعداد في السيناريوهات الشائعة. حدث هذا التجاوز بسبب استخدام قيمة خاطئة لفحص الحد الأعلى عند حساب عدد الرموز المطلوبة عند إضافة السيولة، واستخدمت عملية الإزاحة بدلاً من عملية الضرب التقليدية، بينما ستقوم عمليات الجمع والطرح والضرب والقسمة التقليدية في Move بالتحقق تلقائيًا من حالات التجاوز، مما لن يؤدي إلى هذه المشكلة في قطع الأرقام العالية.

تشبه الثغرات الموجودة في لغات أخرى (مثل Solidity و Rust) التي ظهرت سابقًا، وقد كانت أكثر عرضة للاستغلال بسبب نقص حماية تجاوز الأعداد؛ قبل تحديثات إصدار Solidity، كانت اختبارات التجاوز ضعيفة جدًا. تاريخيًا، حدثت تجاوزات في الجمع والطرح والضرب، وكانت الأسباب المباشرة دائمًا بسبب تجاوز نتائج العمليات للحدود. على سبيل المثال، الثغرات في عقود BEC و SMT الذكية بلغة Solidity، تم استغلالها من خلال معلمات مُركبة بعناية لتجاوز عبارات الكشف في العقد، مما أدى إلى تحويلات زائدة لتحقيق الهجوم.

الإيمان الثابت بعد أزمة الأمان: لماذا لا يزال SUI يمتلك إمكانيات نمو طويلة الأجل؟

3. آلية الإجماع الخاصة بـ SUI

3.1 مقدمة حول آلية إجماع SUI

نظرة عامة:

SUI تتبنى إطار إثبات الحصة بالوكالة (DeleGated Proof of Stake ، مختصر DPoS) ، على الرغم من أن آلية DPoS يمكن أن تزيد من حجم المعاملات ، إلا أنها لا تستطيع توفير درجة عالية من اللامركزية كما هو الحال في PoW (إثبات العمل). لذلك ، فإن درجة اللامركزية في SUI منخفضة نسبيًا ، وعائق الحوكمة مرتفع نسبيًا ، مما يجعل من الصعب على المستخدمين العاديين التأثير مباشرة على حوكمة الشبكة.

  • متوسط عدد المدققين: 106

  • متوسط فترة الإيبوك: 24 ساعة

آلية العملية:

  • تفويض الحقوق: لا يحتاج المستخدمون العاديون إلى تشغيل العقد بأنفسهم، يكفي أن يقوموا برهن SUI وتفويضه إلى المدققين المرشحين، ليتمكنوا من المشاركة في ضمان أمان الشبكة وتوزيع المكافآت. هذه الآلية يمكن أن تخفض من عتبة المشاركة للمستخدمين العاديين، مما يمكنهم من المشاركة في توافق الشبكة "من خلال" توظيف المدققين الموثوقين. هذه أيضًا واحدة من المزايا الكبيرة لـ DPoS مقارنةً بـ PoS التقليدي.

  • تمثيل جولة التكتل: يتم اختيار عدد قليل من المدققين لإنتاج الكتل بترتيب ثابت أو عشوائي، مما يعزز سرعة التأكيد ويزيد من TPS.

  • الانتخابات الديناميكية: بعد انتهاء كل دورة عد الأصوات، يتم إجراء التدوير الديناميكي وإعادة انتخاب مجموعة Validators بناءً على وزن التصويت، لضمان حيوية العقد، وتوافق المصالح، واللامركزية.

مزايا DPoS:

  • كفاءة عالية: نظرًا لأن عدد عقدة الإنتاج قابل للتحكم، يمكن للشبكة إكمال التأكيد في مستوى مللي ثانية، مما يلبي احتياجات TPS العالية.

  • تكلفة منخفضة: عدد العقد المشاركة في الإجماع أقل، مما يقلل بشكل كبير من عرض النطاق الترددي للشبكة والموارد الحسابية اللازمة لمزامنة المعلومات وتجميع التوقيعات. وبالتالي، تنخفض تكاليف الأجهزة والصيانة، وتنخفض متطلبات قوة الحوسبة، مما يقلل من التكاليف. في النهاية، تم تحقيق رسوم معاملات أقل للمستخدمين.

  • أمان عالي: آلية الرهن والتفويض تجعل تكاليف المخاطر والمخاطر تتضخم بشكل متزامن؛ بالاقتران مع آلية المصادرة على السلسلة، تثبط بشكل فعال السلوكيات الضارة.

في نفس الوقت، في آلية إجماع SUI، تم اعتماد خوارزمية قائمة على BFT (تحمل الأخطاء البيزنطية)، تتطلب توافق أكثر من ثلثي أصوات المصادقين لتأكيد المعاملات. تضمن هذه الآلية أنه حتى في حالة قيام عدد قليل من العقد بسلوك ضار، يمكن للشبكة أن تظل آمنة وتعمل بكفاءة. كما يتطلب أي ترقية أو قرار كبير الحصول على أكثر من ثلثي الأصوات قبل التنفيذ.

من الناحية الجوهرية، تعتبر DPoS حلاً وسطياً لنموذج المستحيل الثلاثي.

شاهد النسخة الأصلية
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
  • أعجبني
  • تعليق
  • مشاركة
تعليق
0/400
لا توجد تعليقات
  • تثبيت
خريطة الموقع