Creencia firme después de la crisis de seguridad: ¿por qué SUI todavía tiene el potencial de subir a largo plazo?
TL;DR
La vulnerabilidad de Cetus proviene de la implementación del contrato, y no del SUI o del lenguaje Move en sí:
El ataque se basa fundamentalmente en la falta de verificación de límites en las funciones aritméticas del protocolo Cetus, y no tiene relación con el modelo de seguridad de recursos de la cadena SUI o el lenguaje Move. La vulnerabilidad se puede corregir con "una línea de verificación de límites", y no afecta la seguridad central de todo el ecosistema.
El valor de la "centralización razonable" en el mecanismo SUI se manifiesta en la crisis:
Aunque SUI presenta una ligera tendencia a la centralización con funciones como el ciclo de validadores DPoS y la congelación de listas negras, esto resultó útil en la respuesta al evento CETUS: los validadores sincronizaron rápidamente las direcciones maliciosas en la Deny List y rechazaron empaquetar transacciones relacionadas, logrando la congelación instantánea de más de 160 millones de dólares en fondos. Esto es esencialmente una forma activa de "keynesianismo en la cadena", donde un control macroeconómico efectivo tiene un impacto positivo en el sistema económico.
Reflexiones y sugerencias sobre la seguridad técnica:
Matemáticas y verificación de límites: introducir afirmaciones de límites superior e inferior para todas las operaciones aritméticas clave, y realizar fuzzing de valores extremos y verificación formal. Además, se necesita mejorar la auditoría y el monitoreo: además de la auditoría de código general, se debe añadir un equipo de auditoría matemática especializado y detección de comportamientos de transacciones en cadena en tiempo real, para capturar de manera temprana divisiones anormales o grandes préstamos relámpago.
Resumen y recomendaciones del mecanismo de garantía de fondos:
En el evento de Cetus, SUI colaboró eficientemente con el equipo del proyecto, congelando con éxito más de 160 millones de dólares en fondos y promoviendo un plan de compensación del 100%, lo que demuestra una fuerte capacidad de respuesta en la cadena y un sentido de responsabilidad ecológica. La fundación SUI también agregó 10 millones de dólares en fondos para auditoría, fortaleciendo la línea de defensa de seguridad. En el futuro, se pueden avanzar aún más los sistemas de seguimiento en la cadena, herramientas de seguridad construidas en comunidad, seguros descentralizados y otros mecanismos para perfeccionar el sistema de garantía de fondos.
La expansión diversificada del ecosistema SUI
SUI ha logrado una rápida transición de "nueva cadena" a "ecosistema fuerte" en menos de dos años, construyendo un mapa ecológico diversificado que abarca múltiples pistas como stablecoins, DEX, infraestructura, DePIN, y juegos. La escala total de stablecoins ha superado los 1,000 millones de dólares, proporcionando una sólida base de liquidez para los módulos DeFi; el TVL ocupa el puesto 8 a nivel mundial, la actividad comercial es la 5ª a nivel mundial, y el 3º entre redes no EVM, lo que demuestra una fuerte participación de usuarios y capacidad de acumulación de activos.
1. Una reacción en cadena provocada por un ataque.
El 22 de mayo de 2025, el protocolo AMM líder Cetus, desplegado en la red SUI, sufrió un ataque de hackers. Los atacantes aprovecharon una vulnerabilidad lógica relacionada con el "problema de desbordamiento de enteros" para llevar a cabo un control preciso, lo que resultó en pérdidas de más de 200 millones de dólares en activos. Este incidente no solo es uno de los mayores accidentes de seguridad en el ámbito DeFi hasta la fecha este año, sino que también se ha convertido en el ataque de hackers más destructivo desde el lanzamiento de la mainnet de SUI.
Según los datos, el TVL total de SUI en la cadena cayó más de 330 millones de dólares el día del ataque, y la cantidad bloqueada en el protocolo Cetus se evaporó instantáneamente en un 84%, cayendo a 38 millones de dólares. Como resultado, varios tokens populares en SUI cayeron entre un 76% y un 97% en solo una hora, lo que generó una amplia preocupación en el mercado sobre la seguridad de SUI y la estabilidad de su ecosistema.
Pero después de esta ola de impacto, el ecosistema SUI ha demostrado una gran resiliencia y capacidad de recuperación. A pesar de que el evento Cetus causó una fluctuación en la confianza a corto plazo, los fondos en la cadena y la actividad de los usuarios no han sufrido un deterioro continuo, sino que han impulsado un aumento significativo en la atención hacia la seguridad, la construcción de infraestructura y la calidad de los proyectos en todo el ecosistema.
Klein Labs analizará las razones detrás de este ataque, el mecanismo de consenso de nodos de SUI, la seguridad del lenguaje MOVE y el desarrollo del ecosistema de SUI, organizando el actual panorama ecológico de esta cadena pública que aún se encuentra en una etapa temprana de desarrollo y explorando su potencial de desarrollo futuro.
2. Análisis de las causas del ataque del evento Cetus
2.1 Proceso de implementación del ataque
Según el análisis técnico del equipo de Slow Mist sobre el incidente de ataque a Cetus, los hackers aprovecharon con éxito una vulnerabilidad crítica de desbordamiento aritmético en el protocolo, utilizando préstamos relámpago, manipulación de precios precisa y defectos en los contratos, robando más de 200 millones de dólares en activos digitales en un corto período de tiempo. La trayectoria del ataque se puede dividir aproximadamente en las siguientes tres etapas:
①Iniciar un préstamo relámpago, manipular precios
Los hackers primero utilizan un deslizamiento máximo para hacer un préstamo relámpago de 10 mil millones de haSUI, prestando una gran cantidad de fondos para manipular los precios.
El préstamo relámpago permite a los usuarios pedir prestado y devolver fondos en una misma transacción, solo pagando una tarifa, con características de alto apalancamiento, bajo riesgo y bajo costo. Los hackers aprovecharon este mecanismo para reducir el precio del mercado en un corto período de tiempo y controlarlo con precisión en un rango muy estrecho.
Luego, el atacante se preparó para crear una posición de liquidez extremadamente estrecha, estableciendo el rango de precios con precisión entre la oferta más baja de 300,000 y la oferta más alta de 300,200, con un ancho de precio de solo 1.00496621%.
A través de la forma anterior, los hackers utilizaron una cantidad suficiente de tokens y una gran liquidez para manipular con éxito el precio de haSUI. Luego, también manipularon varios tokens sin valor real.
②Agregar liquidez
El atacante crea posiciones de liquidez estrechas, declara que añade liquidez, pero debido a una vulnerabilidad en la función checked_shlw, al final solo recibe 1 token.
Esencialmente se debe a dos razones:
Configuración de máscara demasiado amplia: equivale a un límite de adición de liquidez extremadamente alto, lo que hace que la validación de la entrada del usuario en el contrato sea prácticamente inútil. Los hackers, al establecer parámetros anómalos, construyen entradas que siempre son menores que dicho límite, eludiendo así la detección de desbordamiento.
Desbordamiento de datos truncado: Al realizar la operación de desplazamiento n << 64 en el valor numérico n, ocurrió un truncamiento de datos debido a que el desplazamiento superó el ancho de bits efectivo del tipo de datos uint256. La parte superior desbordada se descartó automáticamente, lo que llevó a que el resultado de la operación fuera muy inferior al esperado, haciendo que el sistema subestimara la cantidad de haSUI necesaria para el intercambio. El resultado final del cálculo fue aproximadamente menor que 1, pero como se redondeó hacia arriba, al final se calculó que era igual a 1, es decir, el hacker solo necesitaba agregar 1 token para obtener una gran liquidez.
③Retirar liquidez
Realizar el reembolso del préstamo relámpago, manteniendo enormes ganancias. Finalmente, retirar activos de tokens por un valor total de cientos de millones de dólares de múltiples piscinas de liquidez.
La situación de pérdida de fondos es grave, el ataque ha llevado al robo de los siguientes activos:
1290 millones de SUI
6000万美元 USDC
4900000 dólares Haedal Staked SUI
1950 millones de dólares TOILET
Otros tokens como HIPPO y LOFI cayeron un 75--80%, la liquidez se ha agotado.
2.2 Causas y características de la vulnerabilidad
La vulnerabilidad de Cetus tiene tres características:
Costo de reparación extremadamente bajo: por un lado, la causa raíz del incidente de Cetus es una omisión en la biblioteca matemática de Cetus, no un error en el mecanismo de precios del protocolo ni en la arquitectura subyacente. Por otro lado, la vulnerabilidad se limita únicamente a Cetus y no tiene relación con el código de SUI. La raíz de la vulnerabilidad se encuentra en una condición de frontera, y solo se necesitan modificar dos líneas de código para eliminar completamente el riesgo; una vez completada la reparación, se puede implementar de inmediato en la mainnet, asegurando que la lógica de los contratos posteriores esté completa y eliminando dicha vulnerabilidad.
Alta privacidad: El contrato ha estado en funcionamiento estable sin fallos durante dos años, el Cetus Protocol ha sido auditado varias veces, pero no se han encontrado vulnerabilidades, la razón principal es que las bibliotecas utilizadas para cálculos matemáticos no fueron incluidas en el alcance de la auditoría.
Los hackers utilizan valores extremos para construir con precisión intervalos de transacción, creando escenarios extremadamente raros de envío de alta liquidez, lo que activa la lógica anómala, lo que indica que este tipo de problemas es difícil de detectar mediante pruebas ordinarias. Este tipo de problemas a menudo se encuentran en zonas ciegas de la percepción humana, por lo que permanecen ocultos durante mucho tiempo antes de ser descubiertos.
No es un problema exclusivo de Move:
Move es superior a varios lenguajes de contratos inteligentes en seguridad de recursos y verificación de tipos, y tiene una detección nativa del problema de desbordamiento de enteros en situaciones comunes. Este desbordamiento ocurrió porque al agregar liquidez, se utilizó primero un valor incorrecto para la verificación del límite superior al calcular la cantidad de tokens necesarios, y se sustituyó la operación de multiplicación convencional por un desplazamiento, mientras que si se usan operaciones de suma, resta, multiplicación o división convencionales, Move verifica automáticamente las situaciones de desbordamiento, evitando problemas de truncamiento de bits altos.
Vulnerabilidades similares también han aparecido en otros lenguajes, e incluso son más fáciles de explotar debido a la falta de protección contra desbordamientos enteros; antes de la actualización de la versión de Solidity, la verificación de desbordamientos era muy débil. Históricamente, ha habido desbordamientos de suma, desbordamientos de resta, desbordamientos de multiplicación, etc., y la causa directa de todos ellos es que el resultado de la operación excedió el rango. Por ejemplo, las vulnerabilidades en los contratos inteligentes BEC y SMT del lenguaje Solidity lograron evadir las declaraciones de detección en el contrato mediante parámetros cuidadosamente construidos, logrando ataques mediante transferencias excesivas.
3. Mecanismo de consenso de SUI
3.1 Introducción al mecanismo de consenso SUI
Resumen:
SUI adopta un marco de Prueba de Participación Delegada (DeleGated Proof of Stake, abreviado DPoS). Aunque el mecanismo DPoS puede aumentar la capacidad de procesamiento de transacciones, no puede proporcionar un alto nivel de descentralización como lo hace PoW (Prueba de Trabajo). Por lo tanto, el nivel de descentralización de SUI es relativamente bajo, el umbral de gobernanza es relativamente alto, y los usuarios comunes tienen dificultades para influir directamente en la gobernanza de la red.
Número promedio de validadores: 106
Promedio del ciclo Epoch: 24 horas
Proceso del mecanismo:
Delegación de derechos: Los usuarios comunes no necesitan ejecutar nodos por su cuenta, solo tienen que hacer staking de SUI y delegarlo a un validador candidato para participar en la garantía de seguridad de la red y la distribución de recompensas. Este mecanismo puede reducir la barrera de entrada para los usuarios comunes, permitiéndoles participar en el consenso de la red a través de la "contratación" de validadores de confianza. Esta también es una gran ventaja del DPoS en comparación con el PoS tradicional.
Representa el ciclo de generación de bloques: un número limitado de validadores seleccionados generan bloques en un orden fijo o aleatorio, lo que mejora la velocidad de confirmación y aumenta el TPS.
Elecciones dinámicas: Al final de cada periodo de conteo, se lleva a cabo una rotación dinámica y se vuelve a elegir el conjunto de Validadores según el peso del voto, asegurando la vitalidad de los nodos, la coherencia de intereses y la descentralización.
Ventajas de DPoS:
Alta eficiencia: Debido a que el número de nodos de bloque es controlable, la red puede completar la confirmación en milisegundos, satisfaciendo la alta demanda de TPS.
Bajo costo: Menos nodos participan en el consenso, lo que reduce significativamente el ancho de banda de red y los recursos computacionales necesarios para la sincronización de información y la agregación de firmas. Esto disminuye los costos de hardware y operación, reduce los requisitos de capacidad de cómputo y, por lo tanto, los costos son más bajos. Al final, se logra una tarifa de usuario más baja.
Alta seguridad: El mecanismo de staking y delegación amplifica simultáneamente el costo y el riesgo de un ataque; junto con el mecanismo de confiscación en la cadena, se suprimen eficazmente los comportamientos maliciosos.
Al mismo tiempo, en el mecanismo de consenso de SUI, se utiliza un algoritmo basado en BFT (tolerancia a fallos bizantinos), que requiere que más de dos tercios de los votos de los validadores estén de acuerdo para confirmar una transacción. Este mecanismo asegura que incluso si algunos nodos actúan maliciosamente, la red pueda mantener una operación segura y eficiente. Cualquier actualización o decisión importante también requiere más de dos tercios de los votos para ser implementada.
En esencia, el DPoS es en realidad una solución de compromiso del triángulo imposible, que realiza un equilibrio entre descentralización y eficiencia. El DPoS elige reducir el número de nodos activos de bloque para obtener un mayor rendimiento en el "triángulo imposible" de seguridad-descentralización-escalabilidad, renunciando a cierto grado de completa descentralización en comparación con el PoS puro o el PoW, pero mejorando significativamente el rendimiento de la red y la velocidad de las transacciones.
 and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
14 me gusta
Recompensa
14
7
Compartir
Comentar
0/400
GasFeeCrybaby
· hace12h
Antes de hacer un Rug Pull, más rápido se gana dinero. La col debe dejar de hacer fork.
Ver originalesResponder0
WalletsWatcher
· hace19h
Sui no teme caer, cuanto más cae, más resistente es.
Ver originalesResponder0
liquidation_surfer
· hace19h
hodl no puede salvar a los tontos
Ver originalesResponder0
ZenZKPlayer
· hace19h
caída caída sin fin aún hay que ver sui~
Ver originalesResponder0
ForkLibertarian
· hace20h
¿Así que esto también se puede lavar? No me hagas reír.
La resiliencia del ecosistema SUI se destaca: Reflexiones sobre la reparación de vulnerabilidades de Cetus y los mecanismos de seguridad.
Creencia firme después de la crisis de seguridad: ¿por qué SUI todavía tiene el potencial de subir a largo plazo?
TL;DR
El ataque se basa fundamentalmente en la falta de verificación de límites en las funciones aritméticas del protocolo Cetus, y no tiene relación con el modelo de seguridad de recursos de la cadena SUI o el lenguaje Move. La vulnerabilidad se puede corregir con "una línea de verificación de límites", y no afecta la seguridad central de todo el ecosistema.
Aunque SUI presenta una ligera tendencia a la centralización con funciones como el ciclo de validadores DPoS y la congelación de listas negras, esto resultó útil en la respuesta al evento CETUS: los validadores sincronizaron rápidamente las direcciones maliciosas en la Deny List y rechazaron empaquetar transacciones relacionadas, logrando la congelación instantánea de más de 160 millones de dólares en fondos. Esto es esencialmente una forma activa de "keynesianismo en la cadena", donde un control macroeconómico efectivo tiene un impacto positivo en el sistema económico.
Matemáticas y verificación de límites: introducir afirmaciones de límites superior e inferior para todas las operaciones aritméticas clave, y realizar fuzzing de valores extremos y verificación formal. Además, se necesita mejorar la auditoría y el monitoreo: además de la auditoría de código general, se debe añadir un equipo de auditoría matemática especializado y detección de comportamientos de transacciones en cadena en tiempo real, para capturar de manera temprana divisiones anormales o grandes préstamos relámpago.
En el evento de Cetus, SUI colaboró eficientemente con el equipo del proyecto, congelando con éxito más de 160 millones de dólares en fondos y promoviendo un plan de compensación del 100%, lo que demuestra una fuerte capacidad de respuesta en la cadena y un sentido de responsabilidad ecológica. La fundación SUI también agregó 10 millones de dólares en fondos para auditoría, fortaleciendo la línea de defensa de seguridad. En el futuro, se pueden avanzar aún más los sistemas de seguimiento en la cadena, herramientas de seguridad construidas en comunidad, seguros descentralizados y otros mecanismos para perfeccionar el sistema de garantía de fondos.
SUI ha logrado una rápida transición de "nueva cadena" a "ecosistema fuerte" en menos de dos años, construyendo un mapa ecológico diversificado que abarca múltiples pistas como stablecoins, DEX, infraestructura, DePIN, y juegos. La escala total de stablecoins ha superado los 1,000 millones de dólares, proporcionando una sólida base de liquidez para los módulos DeFi; el TVL ocupa el puesto 8 a nivel mundial, la actividad comercial es la 5ª a nivel mundial, y el 3º entre redes no EVM, lo que demuestra una fuerte participación de usuarios y capacidad de acumulación de activos.
1. Una reacción en cadena provocada por un ataque.
El 22 de mayo de 2025, el protocolo AMM líder Cetus, desplegado en la red SUI, sufrió un ataque de hackers. Los atacantes aprovecharon una vulnerabilidad lógica relacionada con el "problema de desbordamiento de enteros" para llevar a cabo un control preciso, lo que resultó en pérdidas de más de 200 millones de dólares en activos. Este incidente no solo es uno de los mayores accidentes de seguridad en el ámbito DeFi hasta la fecha este año, sino que también se ha convertido en el ataque de hackers más destructivo desde el lanzamiento de la mainnet de SUI.
Según los datos, el TVL total de SUI en la cadena cayó más de 330 millones de dólares el día del ataque, y la cantidad bloqueada en el protocolo Cetus se evaporó instantáneamente en un 84%, cayendo a 38 millones de dólares. Como resultado, varios tokens populares en SUI cayeron entre un 76% y un 97% en solo una hora, lo que generó una amplia preocupación en el mercado sobre la seguridad de SUI y la estabilidad de su ecosistema.
Pero después de esta ola de impacto, el ecosistema SUI ha demostrado una gran resiliencia y capacidad de recuperación. A pesar de que el evento Cetus causó una fluctuación en la confianza a corto plazo, los fondos en la cadena y la actividad de los usuarios no han sufrido un deterioro continuo, sino que han impulsado un aumento significativo en la atención hacia la seguridad, la construcción de infraestructura y la calidad de los proyectos en todo el ecosistema.
Klein Labs analizará las razones detrás de este ataque, el mecanismo de consenso de nodos de SUI, la seguridad del lenguaje MOVE y el desarrollo del ecosistema de SUI, organizando el actual panorama ecológico de esta cadena pública que aún se encuentra en una etapa temprana de desarrollo y explorando su potencial de desarrollo futuro.
2. Análisis de las causas del ataque del evento Cetus
2.1 Proceso de implementación del ataque
Según el análisis técnico del equipo de Slow Mist sobre el incidente de ataque a Cetus, los hackers aprovecharon con éxito una vulnerabilidad crítica de desbordamiento aritmético en el protocolo, utilizando préstamos relámpago, manipulación de precios precisa y defectos en los contratos, robando más de 200 millones de dólares en activos digitales en un corto período de tiempo. La trayectoria del ataque se puede dividir aproximadamente en las siguientes tres etapas:
①Iniciar un préstamo relámpago, manipular precios
Los hackers primero utilizan un deslizamiento máximo para hacer un préstamo relámpago de 10 mil millones de haSUI, prestando una gran cantidad de fondos para manipular los precios.
El préstamo relámpago permite a los usuarios pedir prestado y devolver fondos en una misma transacción, solo pagando una tarifa, con características de alto apalancamiento, bajo riesgo y bajo costo. Los hackers aprovecharon este mecanismo para reducir el precio del mercado en un corto período de tiempo y controlarlo con precisión en un rango muy estrecho.
Luego, el atacante se preparó para crear una posición de liquidez extremadamente estrecha, estableciendo el rango de precios con precisión entre la oferta más baja de 300,000 y la oferta más alta de 300,200, con un ancho de precio de solo 1.00496621%.
A través de la forma anterior, los hackers utilizaron una cantidad suficiente de tokens y una gran liquidez para manipular con éxito el precio de haSUI. Luego, también manipularon varios tokens sin valor real.
②Agregar liquidez
El atacante crea posiciones de liquidez estrechas, declara que añade liquidez, pero debido a una vulnerabilidad en la función checked_shlw, al final solo recibe 1 token.
Esencialmente se debe a dos razones:
Configuración de máscara demasiado amplia: equivale a un límite de adición de liquidez extremadamente alto, lo que hace que la validación de la entrada del usuario en el contrato sea prácticamente inútil. Los hackers, al establecer parámetros anómalos, construyen entradas que siempre son menores que dicho límite, eludiendo así la detección de desbordamiento.
Desbordamiento de datos truncado: Al realizar la operación de desplazamiento n << 64 en el valor numérico n, ocurrió un truncamiento de datos debido a que el desplazamiento superó el ancho de bits efectivo del tipo de datos uint256. La parte superior desbordada se descartó automáticamente, lo que llevó a que el resultado de la operación fuera muy inferior al esperado, haciendo que el sistema subestimara la cantidad de haSUI necesaria para el intercambio. El resultado final del cálculo fue aproximadamente menor que 1, pero como se redondeó hacia arriba, al final se calculó que era igual a 1, es decir, el hacker solo necesitaba agregar 1 token para obtener una gran liquidez.
③Retirar liquidez
Realizar el reembolso del préstamo relámpago, manteniendo enormes ganancias. Finalmente, retirar activos de tokens por un valor total de cientos de millones de dólares de múltiples piscinas de liquidez.
La situación de pérdida de fondos es grave, el ataque ha llevado al robo de los siguientes activos:
1290 millones de SUI
6000万美元 USDC
4900000 dólares Haedal Staked SUI
1950 millones de dólares TOILET
Otros tokens como HIPPO y LOFI cayeron un 75--80%, la liquidez se ha agotado.
2.2 Causas y características de la vulnerabilidad
La vulnerabilidad de Cetus tiene tres características:
Costo de reparación extremadamente bajo: por un lado, la causa raíz del incidente de Cetus es una omisión en la biblioteca matemática de Cetus, no un error en el mecanismo de precios del protocolo ni en la arquitectura subyacente. Por otro lado, la vulnerabilidad se limita únicamente a Cetus y no tiene relación con el código de SUI. La raíz de la vulnerabilidad se encuentra en una condición de frontera, y solo se necesitan modificar dos líneas de código para eliminar completamente el riesgo; una vez completada la reparación, se puede implementar de inmediato en la mainnet, asegurando que la lógica de los contratos posteriores esté completa y eliminando dicha vulnerabilidad.
Alta privacidad: El contrato ha estado en funcionamiento estable sin fallos durante dos años, el Cetus Protocol ha sido auditado varias veces, pero no se han encontrado vulnerabilidades, la razón principal es que las bibliotecas utilizadas para cálculos matemáticos no fueron incluidas en el alcance de la auditoría.
Los hackers utilizan valores extremos para construir con precisión intervalos de transacción, creando escenarios extremadamente raros de envío de alta liquidez, lo que activa la lógica anómala, lo que indica que este tipo de problemas es difícil de detectar mediante pruebas ordinarias. Este tipo de problemas a menudo se encuentran en zonas ciegas de la percepción humana, por lo que permanecen ocultos durante mucho tiempo antes de ser descubiertos.
Move es superior a varios lenguajes de contratos inteligentes en seguridad de recursos y verificación de tipos, y tiene una detección nativa del problema de desbordamiento de enteros en situaciones comunes. Este desbordamiento ocurrió porque al agregar liquidez, se utilizó primero un valor incorrecto para la verificación del límite superior al calcular la cantidad de tokens necesarios, y se sustituyó la operación de multiplicación convencional por un desplazamiento, mientras que si se usan operaciones de suma, resta, multiplicación o división convencionales, Move verifica automáticamente las situaciones de desbordamiento, evitando problemas de truncamiento de bits altos.
Vulnerabilidades similares también han aparecido en otros lenguajes, e incluso son más fáciles de explotar debido a la falta de protección contra desbordamientos enteros; antes de la actualización de la versión de Solidity, la verificación de desbordamientos era muy débil. Históricamente, ha habido desbordamientos de suma, desbordamientos de resta, desbordamientos de multiplicación, etc., y la causa directa de todos ellos es que el resultado de la operación excedió el rango. Por ejemplo, las vulnerabilidades en los contratos inteligentes BEC y SMT del lenguaje Solidity lograron evadir las declaraciones de detección en el contrato mediante parámetros cuidadosamente construidos, logrando ataques mediante transferencias excesivas.
3. Mecanismo de consenso de SUI
3.1 Introducción al mecanismo de consenso SUI
Resumen:
SUI adopta un marco de Prueba de Participación Delegada (DeleGated Proof of Stake, abreviado DPoS). Aunque el mecanismo DPoS puede aumentar la capacidad de procesamiento de transacciones, no puede proporcionar un alto nivel de descentralización como lo hace PoW (Prueba de Trabajo). Por lo tanto, el nivel de descentralización de SUI es relativamente bajo, el umbral de gobernanza es relativamente alto, y los usuarios comunes tienen dificultades para influir directamente en la gobernanza de la red.
Número promedio de validadores: 106
Promedio del ciclo Epoch: 24 horas
Proceso del mecanismo:
Delegación de derechos: Los usuarios comunes no necesitan ejecutar nodos por su cuenta, solo tienen que hacer staking de SUI y delegarlo a un validador candidato para participar en la garantía de seguridad de la red y la distribución de recompensas. Este mecanismo puede reducir la barrera de entrada para los usuarios comunes, permitiéndoles participar en el consenso de la red a través de la "contratación" de validadores de confianza. Esta también es una gran ventaja del DPoS en comparación con el PoS tradicional.
Representa el ciclo de generación de bloques: un número limitado de validadores seleccionados generan bloques en un orden fijo o aleatorio, lo que mejora la velocidad de confirmación y aumenta el TPS.
Elecciones dinámicas: Al final de cada periodo de conteo, se lleva a cabo una rotación dinámica y se vuelve a elegir el conjunto de Validadores según el peso del voto, asegurando la vitalidad de los nodos, la coherencia de intereses y la descentralización.
Ventajas de DPoS:
Alta eficiencia: Debido a que el número de nodos de bloque es controlable, la red puede completar la confirmación en milisegundos, satisfaciendo la alta demanda de TPS.
Bajo costo: Menos nodos participan en el consenso, lo que reduce significativamente el ancho de banda de red y los recursos computacionales necesarios para la sincronización de información y la agregación de firmas. Esto disminuye los costos de hardware y operación, reduce los requisitos de capacidad de cómputo y, por lo tanto, los costos son más bajos. Al final, se logra una tarifa de usuario más baja.
Alta seguridad: El mecanismo de staking y delegación amplifica simultáneamente el costo y el riesgo de un ataque; junto con el mecanismo de confiscación en la cadena, se suprimen eficazmente los comportamientos maliciosos.
Al mismo tiempo, en el mecanismo de consenso de SUI, se utiliza un algoritmo basado en BFT (tolerancia a fallos bizantinos), que requiere que más de dos tercios de los votos de los validadores estén de acuerdo para confirmar una transacción. Este mecanismo asegura que incluso si algunos nodos actúan maliciosamente, la red pueda mantener una operación segura y eficiente. Cualquier actualización o decisión importante también requiere más de dos tercios de los votos para ser implementada.
En esencia, el DPoS es en realidad una solución de compromiso del triángulo imposible, que realiza un equilibrio entre descentralización y eficiencia. El DPoS elige reducir el número de nodos activos de bloque para obtener un mayor rendimiento en el "triángulo imposible" de seguridad-descentralización-escalabilidad, renunciando a cierto grado de completa descentralización en comparación con el PoS puro o el PoW, pero mejorando significativamente el rendimiento de la red y la velocidad de las transacciones.
![Fe fe firme después de la crisis de seguridad: ¿Por qué SUI todavía tiene el potencial de subir a largo plazo?](