Keyakinan yang Kuat Setelah Krisis Keamanan: Mengapa SUI Masih Memiliki Potensi Pertumbuhan Jangka Panjang?
TL;DR
Kerentanan Cetus berasal dari implementasi kontrak, bukan dari SUI atau bahasa Move itu sendiri:
Serangan ini sebenarnya disebabkan oleh kurangnya pemeriksaan batas pada fungsi aritmatika dalam protokol Cetus, dan tidak ada hubungannya dengan model keamanan sumber daya dari rantai SUI atau bahasa Move. Kerentanan ini dapat diperbaiki dengan "satu baris pemeriksaan batas" dan tidak memengaruhi keamanan inti dari seluruh ekosistem.
Nilai "sentralisasi yang wajar" dalam mekanisme SUI muncul dalam krisis:
Meskipun SUI mengadopsi rotasi validator DPoS dan fungsi pembekuan daftar hitam yang memiliki kecenderungan desentralisasi yang ringan, hal ini justru bermanfaat dalam respons kejadian CETUS: validator dengan cepat menyinkronkan alamat jahat ke Deny List, menolak untuk mengemas transaksi terkait, dan berhasil membekukan lebih dari 160 juta dolar dana secara instan. Ini pada dasarnya adalah bentuk positif dari "keynesianisme on-chain", di mana pengendalian makroekonomi yang efektif memberikan dampak positif pada sistem ekonomi.
Refleksi dan Saran tentang Keamanan Teknologi:
Matematika dan validasi batas: memperkenalkan pernyataan batas atas dan bawah untuk semua operasi aritmatika kunci, serta melakukan fuzzing nilai ekstrem dan verifikasi formal. Selain itu, perlu meningkatkan audit dan pemantauan: di luar audit kode umum, menambahkan tim audit matematika profesional dan deteksi perilaku transaksi on-chain secara real-time, untuk menangkap lebih awal pemisahan abnormal atau pinjaman kilat besar.
Ringkasan dan Saran dari Mekanisme Perlindungan Dana:
Dalam peristiwa Cetus, SUI bekerja sama secara efisien dengan pihak proyek, berhasil membekukan dana lebih dari 1,6 miliar dolar AS, dan mendorong rencana kompensasi 100%, menunjukkan daya respons yang kuat di on-chain dan rasa tanggung jawab ekosistem. Yayasan SUI juga menambah dana audit sebesar 10 juta dolar AS, memperkuat garis pertahanan keamanan. Di masa depan, dapat lebih lanjut memajukan sistem pelacakan on-chain, alat keamanan pembangunan bersama komunitas, asuransi terdesentralisasi, dan mekanisme lainnya untuk menyempurnakan sistem perlindungan dana.
Ekspansi beragam dari ekosistem SUI
SUI dalam waktu kurang dari dua tahun telah dengan cepat mewujudkan lompatan dari "rantai baru" ke "ekosistem kuat", membangun peta ekosistem yang beragam yang mencakup stablecoin, DEX, infrastruktur, DePIN, permainan, dan banyak jalur lainnya. Total skala stablecoin telah melampaui 1 miliar dolar AS, memberikan dasar likuiditas yang kuat untuk modul DeFi; TVL peringkat global ke-8, tingkat aktivitas perdagangan global ke-5, jaringan non-EVM ke-3, menunjukkan partisipasi pengguna yang kuat dan kemampuan akumulasi aset.
1. Reaksi berantai yang dipicu oleh satu serangan
Pada 22 Mei 2025, protokol AMM terkemuka Cetus yang dikerahkan di jaringan SUI mengalami serangan hacker. Penyerang memanfaatkan celah logika terkait "masalah overflow integer" untuk melakukan manipulasi yang tepat, mengakibatkan kerugian lebih dari 200 juta dolar. Peristiwa ini bukan hanya salah satu insiden keamanan terbesar di bidang DeFi sejauh tahun ini, tetapi juga menjadi serangan hacker paling merusak sejak peluncuran mainnet SUI.
Menurut data, TVL seluruh rantai SUI anjlok lebih dari 330 juta dolar AS pada hari terjadinya serangan, jumlah yang dikunci oleh protokol Cetus bahkan seketika menguap 84%, jatuh ke 38 juta dolar AS. Terdampak oleh hal ini, beberapa token populer di SUI anjlok 76% hingga 97% hanya dalam waktu satu jam, memicu perhatian luas pasar terhadap keamanan dan stabilitas ekosistem SUI.
Namun, setelah gelombang kejutan ini, ekosistem SUI menunjukkan ketahanan dan kemampuan pemulihan yang kuat. Meskipun peristiwa Cetus menyebabkan fluktuasi kepercayaan dalam jangka pendek, dana on-chain dan tingkat aktivitas pengguna tidak mengalami penurunan yang berkepanjangan, melainkan mendorong seluruh ekosistem untuk meningkatkan perhatian pada keamanan, pembangunan infrastruktur, dan kualitas proyek.
Klein Labs akan menguraikan ekosistem saat ini dari blockchain publik yang masih dalam tahap awal pengembangan ini, berkaitan dengan penyebab insiden serangan ini, mekanisme konsensus node SUI, keamanan bahasa MOVE, dan perkembangan ekosistem SUI, serta membahas potensi perkembangan di masa depan.
2. Analisis penyebab serangan Cetus
2.1 Proses Implementasi Serangan
Menurut analisis teknis tim Slow Mist tentang insiden serangan Cetus, peretas berhasil memanfaatkan celah overflow aritmatika kunci dalam protokol, dengan memanfaatkan pinjaman kilat, manipulasi harga yang tepat, dan cacat kontrak, dalam waktu singkat mencuri lebih dari 200 juta dolar aset digital. Jalur serangan dapat dibagi menjadi tiga tahap berikut:
①发起 pinjaman kilat, mengendalikan harga
Hacker pertama-tama memanfaatkan slippage maksimum untuk melakukan flash swap 10 miliar haSUI melalui pinjaman kilat, meminjam banyak dana untuk manipulasi harga.
Pinjaman kilat memungkinkan pengguna untuk meminjam dan mengembalikan dana dalam satu transaksi, hanya dengan membayar biaya, memiliki karakteristik leverage tinggi, risiko rendah, dan biaya rendah. Para peretas memanfaatkan mekanisme ini untuk menurunkan harga pasar dalam waktu singkat, dan mengendalikannya dengan tepat dalam rentang yang sangat sempit.
Kemudian penyerang bersiap untuk membuat posisi likuiditas yang sangat sempit, dengan rentang harga yang ditetapkan secara tepat antara penawaran terendah 300,000 dan harga tertinggi 300,200, dengan lebar harga hanya 1,00496621%.
Dengan cara di atas, hacker berhasil mengendalikan harga haSUI menggunakan jumlah token yang cukup besar dan likuiditas yang sangat tinggi. Setelah itu, mereka juga mengendalikan beberapa token yang tidak memiliki nilai nyata.
② Menambahkan likuiditas
Penyerang membuat posisi likuiditas yang sempit, mengklaim menambahkan likuiditas, tetapi karena adanya celah di fungsi checked_shlw, akhirnya hanya menerima 1 token.
Pada dasarnya disebabkan oleh dua alasan:
Pengaturan masker terlalu lebar: setara dengan batas atas penambahan likuiditas yang sangat besar, yang menyebabkan verifikasi terhadap input pengguna dalam kontrak menjadi tidak berarti. Peretas dengan mengatur parameter yang tidak normal, membangun input yang selalu lebih kecil dari batas tersebut, sehingga berhasil melewati deteksi overflow.
Data overflow terputus: Saat melakukan operasi pergeseran n << 64 pada nilai n, terjadi pemotongan data karena pergeseran melampaui lebar bit efektif dari tipe data uint256. Bagian overflow tinggi secara otomatis dibuang, yang menyebabkan hasil perhitungan jauh di bawah yang diharapkan, sehingga sistem meremehkan jumlah haSUI yang diperlukan untuk pertukaran. Hasil perhitungan akhir kurang dari 1, namun karena dibulatkan ke atas, hasil akhirnya menjadi 1, yaitu hacker hanya perlu menambahkan 1 token, sehingga dapat menukarkan likuiditas yang besar.
③ menarik likuiditas
Melakukan pembayaran pinjaman kilat, mempertahankan keuntungan besar. Akhirnya menarik aset token senilai total ratusan juta dolar dari beberapa kolam likuiditas.
Situasi kehilangan dana sangat serius, serangan menyebabkan aset berikut dicuri:
1290 juta SUI
6000 juta USDC
490 juta dollar Haedal Staked SUI
1950 juta dolar TOILET
Token lain seperti HIPPO dan LOFI turun 75--80%, likuiditas menipis
2.2 Penyebab dan karakteristik kerentanan ini
Cetus memiliki tiga karakteristik dari celah ini:
Biaya perbaikan sangat rendah: Di satu sisi, penyebab mendasar dari peristiwa Cetus adalah kesalahan dalam pustaka matematika Cetus, bukan kesalahan mekanisme harga protokol atau kesalahan arsitektur dasar. Di sisi lain, celah tersebut terbatas hanya pada Cetus itu sendiri, dan tidak ada hubungannya dengan kode SUI. Akar masalah terletak pada satu kondisi batas yang perlu diubah hanya dua baris kode untuk sepenuhnya menghilangkan risiko; setelah perbaikan selesai, dapat segera diterapkan ke jaringan utama untuk memastikan logika kontrak selanjutnya lengkap dan mencegah celah tersebut.
Tingkat kerahasiaan tinggi: Kontrak telah beroperasi dengan stabil tanpa cacat selama dua tahun, Cetus Protocol telah menjalani beberapa audit, tetapi celah tidak ditemukan, alasan utamanya adalah karena pustaka yang digunakan untuk perhitungan matematis tidak termasuk dalam lingkup audit.
Hacker memanfaatkan nilai ekstrem untuk secara tepat membangun rentang perdagangan, menciptakan skenario yang sangat jarang dengan likuiditas yang sangat tinggi, yang hanya memicu logika anomali, menunjukkan bahwa masalah semacam ini sulit ditemukan melalui pengujian biasa. Masalah semacam ini sering terletak di area buta dalam pandangan orang, sehingga terpendam cukup lama sebelum ditemukan.
Bukan masalah yang hanya dimiliki oleh Move:
Move unggul dalam keamanan sumber daya dan pemeriksaan tipe dibandingkan berbagai bahasa kontrak pintar, dengan deteksi bawaan untuk masalah overflow integer dalam situasi umum. Overflow ini terjadi karena saat menambahkan likuiditas, nilai yang salah digunakan untuk pemeriksaan batas atas dalam penghitungan jumlah token yang dibutuhkan, dan operasi pergeseran digunakan sebagai pengganti operasi perkalian biasa. Jika menggunakan operasi penjumlahan, pengurangan, perkalian, dan pembagian biasa, Move akan secara otomatis memeriksa situasi overflow dan tidak akan mengalami masalah pemotongan bit tinggi seperti ini.
Kerentanan serupa juga pernah muncul dalam bahasa lain, bahkan lebih mudah dieksploitasi karena kurangnya perlindungan terhadap overflow integer; sebelum pembaruan versi Solidity, pemeriksaan overflow sangat lemah. Dalam sejarah, terjadi overflow penjumlahan, overflow pengurangan, overflow perkalian, dan penyebab langsungnya adalah karena hasil perhitungan melebihi batas. Misalnya, kerentanan pada dua kontrak pintar BEC dan SMT dalam bahasa Solidity, berhasil melewati pernyataan pemeriksaan dalam kontrak dengan parameter yang dirancang dengan cermat, sehingga melakukan serangan dengan transfer berlebih.
3. Mekanisme konsensus SUI
3.1 Ringkasan Mekanisme Konsensus SUI
Gambaran Umum:
SUI mengambil kerangka bukti kepemilikan yang didelegasikan (Delegated Proof of Stake, disingkat DPoS), mekanisme DPoS meskipun dapat meningkatkan throughput transaksi, namun tidak dapat memberikan tingkat desentralisasi yang sangat tinggi seperti PoW (Proof of Work). Oleh karena itu, tingkat desentralisasi SUI relatif rendah, ambang batas pemerintahan relatif tinggi, dan pengguna biasa sulit untuk langsung mempengaruhi pemerintahan jaringan.
Rata-rata jumlah validator: 106
Rata-rata periode Epoch: 24 jam
Proses mekanisme:
Penugasan Hak: Pengguna biasa tidak perlu menjalankan node sendiri, cukup dengan mempertaruhkan SUI dan mendelegasikannya kepada validator kandidat, mereka dapat berpartisipasi dalam jaminan keamanan jaringan dan distribusi hadiah. Mekanisme ini dapat menurunkan ambang partisipasi bagi pengguna biasa, sehingga mereka dapat berpartisipasi dalam konsensus jaringan dengan "mempekerjakan" validator yang dipercaya. Ini juga merupakan salah satu keuntungan DPoS dibandingkan dengan PoS tradisional.
Mewakili putaran pembuatan blok: Sebagian kecil validator yang dipilih membuat blok dalam urutan tetap atau acak, meningkatkan kecepatan konfirmasi dan meningkatkan TPS.
Pemilihan dinamis: Setelah setiap periode penghitungan suara berakhir, berdasarkan bobot suara, dilakukan rotasi dinamis untuk memilih kembali kumpulan Validator, memastikan vitalitas node, konsistensi kepentingan, dan desentralisasi.
Keuntungan DPoS:
Efisiensi Tinggi: Karena jumlah node penghasil blok dapat dikendalikan, jaringan dapat menyelesaikan konfirmasi dalam tingkat milidetik, memenuhi kebutuhan TPS yang tinggi.
Biaya rendah: Jumlah node yang terlibat dalam konsensus lebih sedikit, sehingga bandwidth jaringan dan sumber daya komputasi yang dibutuhkan untuk sinkronisasi informasi dan agregasi tanda tangan berkurang secara signifikan. Dengan demikian, biaya perangkat keras dan operasional menurun, permintaan terhadap daya komputasi menurun, dan biaya menjadi lebih rendah. Pada akhirnya, ini menghasilkan biaya transaksi pengguna yang lebih rendah.
Keamanan tinggi: Mekanisme staking dan delegasi membuat biaya dan risiko serangan meningkat secara bersamaan; dipadukan dengan mekanisme penyitaan di blockchain, secara efektif menekan perilaku jahat.
Sementara itu, dalam mekanisme konsensus SUI, digunakan algoritma berbasis BFT (Byzantine Fault Tolerance), yang mengharuskan lebih dari dua pertiga suara dari validator untuk mencapai kesepakatan sebelum transaksi dapat dikonfirmasi. Mekanisme ini memastikan bahwa meskipun sejumlah kecil node berbuat jahat, jaringan tetap dapat beroperasi dengan aman dan efisien. Setiap peningkatan atau keputusan besar juga memerlukan lebih dari dua pertiga suara untuk dilaksanakan.
Pada dasarnya, DPoS adalah suatu kompromi dari segitiga yang tidak mungkin, yang melakukan kompromi antara desentralisasi dan efisiensi. DPoS memilih untuk mengurangi jumlah node aktif yang memproduksi blok untuk mendapatkan kinerja yang lebih tinggi dalam "segitiga tidak mungkin" antara keamanan-desentralisasi-skala, dibandingkan dengan PoS atau PoW murni yang mengorbankan tingkat desentralisasi yang lengkap, tetapi secara signifikan meningkatkan throughput jaringan dan kecepatan transaksi.
 and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
14 Suka
Hadiah
14
7
Bagikan
Komentar
0/400
GasFeeCrybaby
· 13jam yang lalu
Semakin cepat Rug Pull, semakin cepat mendapatkan uang. Jangan biarkan sayuran terfork.
Lihat AsliBalas0
WalletsWatcher
· 20jam yang lalu
Sui tidak takut jatuh, semakin jatuh semakin kuat
Lihat AsliBalas0
liquidation_surfer
· 20jam yang lalu
hodl tidak dapat menyelamatkan suckers ya
Lihat AsliBalas0
ZenZKPlayer
· 20jam yang lalu
turun turun tidak berhenti masih harus melihat sui~
Lihat AsliBalas0
ForkLibertarian
· 20jam yang lalu
sui bisa dicuci seperti ini? Jangan bercanda.
Lihat AsliBalas0
MetaverseVagabond
· 20jam yang lalu
Tidak takut tidak takut, saya sui masih bisa buy the dip
Ketahanan ekosistem SUI menonjol: Pemikiran ulang tentang perbaikan celah Cetus dan mekanisme keamanan
Keyakinan yang Kuat Setelah Krisis Keamanan: Mengapa SUI Masih Memiliki Potensi Pertumbuhan Jangka Panjang?
TL;DR
Serangan ini sebenarnya disebabkan oleh kurangnya pemeriksaan batas pada fungsi aritmatika dalam protokol Cetus, dan tidak ada hubungannya dengan model keamanan sumber daya dari rantai SUI atau bahasa Move. Kerentanan ini dapat diperbaiki dengan "satu baris pemeriksaan batas" dan tidak memengaruhi keamanan inti dari seluruh ekosistem.
Meskipun SUI mengadopsi rotasi validator DPoS dan fungsi pembekuan daftar hitam yang memiliki kecenderungan desentralisasi yang ringan, hal ini justru bermanfaat dalam respons kejadian CETUS: validator dengan cepat menyinkronkan alamat jahat ke Deny List, menolak untuk mengemas transaksi terkait, dan berhasil membekukan lebih dari 160 juta dolar dana secara instan. Ini pada dasarnya adalah bentuk positif dari "keynesianisme on-chain", di mana pengendalian makroekonomi yang efektif memberikan dampak positif pada sistem ekonomi.
Matematika dan validasi batas: memperkenalkan pernyataan batas atas dan bawah untuk semua operasi aritmatika kunci, serta melakukan fuzzing nilai ekstrem dan verifikasi formal. Selain itu, perlu meningkatkan audit dan pemantauan: di luar audit kode umum, menambahkan tim audit matematika profesional dan deteksi perilaku transaksi on-chain secara real-time, untuk menangkap lebih awal pemisahan abnormal atau pinjaman kilat besar.
Dalam peristiwa Cetus, SUI bekerja sama secara efisien dengan pihak proyek, berhasil membekukan dana lebih dari 1,6 miliar dolar AS, dan mendorong rencana kompensasi 100%, menunjukkan daya respons yang kuat di on-chain dan rasa tanggung jawab ekosistem. Yayasan SUI juga menambah dana audit sebesar 10 juta dolar AS, memperkuat garis pertahanan keamanan. Di masa depan, dapat lebih lanjut memajukan sistem pelacakan on-chain, alat keamanan pembangunan bersama komunitas, asuransi terdesentralisasi, dan mekanisme lainnya untuk menyempurnakan sistem perlindungan dana.
SUI dalam waktu kurang dari dua tahun telah dengan cepat mewujudkan lompatan dari "rantai baru" ke "ekosistem kuat", membangun peta ekosistem yang beragam yang mencakup stablecoin, DEX, infrastruktur, DePIN, permainan, dan banyak jalur lainnya. Total skala stablecoin telah melampaui 1 miliar dolar AS, memberikan dasar likuiditas yang kuat untuk modul DeFi; TVL peringkat global ke-8, tingkat aktivitas perdagangan global ke-5, jaringan non-EVM ke-3, menunjukkan partisipasi pengguna yang kuat dan kemampuan akumulasi aset.
1. Reaksi berantai yang dipicu oleh satu serangan
Pada 22 Mei 2025, protokol AMM terkemuka Cetus yang dikerahkan di jaringan SUI mengalami serangan hacker. Penyerang memanfaatkan celah logika terkait "masalah overflow integer" untuk melakukan manipulasi yang tepat, mengakibatkan kerugian lebih dari 200 juta dolar. Peristiwa ini bukan hanya salah satu insiden keamanan terbesar di bidang DeFi sejauh tahun ini, tetapi juga menjadi serangan hacker paling merusak sejak peluncuran mainnet SUI.
Menurut data, TVL seluruh rantai SUI anjlok lebih dari 330 juta dolar AS pada hari terjadinya serangan, jumlah yang dikunci oleh protokol Cetus bahkan seketika menguap 84%, jatuh ke 38 juta dolar AS. Terdampak oleh hal ini, beberapa token populer di SUI anjlok 76% hingga 97% hanya dalam waktu satu jam, memicu perhatian luas pasar terhadap keamanan dan stabilitas ekosistem SUI.
Namun, setelah gelombang kejutan ini, ekosistem SUI menunjukkan ketahanan dan kemampuan pemulihan yang kuat. Meskipun peristiwa Cetus menyebabkan fluktuasi kepercayaan dalam jangka pendek, dana on-chain dan tingkat aktivitas pengguna tidak mengalami penurunan yang berkepanjangan, melainkan mendorong seluruh ekosistem untuk meningkatkan perhatian pada keamanan, pembangunan infrastruktur, dan kualitas proyek.
Klein Labs akan menguraikan ekosistem saat ini dari blockchain publik yang masih dalam tahap awal pengembangan ini, berkaitan dengan penyebab insiden serangan ini, mekanisme konsensus node SUI, keamanan bahasa MOVE, dan perkembangan ekosistem SUI, serta membahas potensi perkembangan di masa depan.
2. Analisis penyebab serangan Cetus
2.1 Proses Implementasi Serangan
Menurut analisis teknis tim Slow Mist tentang insiden serangan Cetus, peretas berhasil memanfaatkan celah overflow aritmatika kunci dalam protokol, dengan memanfaatkan pinjaman kilat, manipulasi harga yang tepat, dan cacat kontrak, dalam waktu singkat mencuri lebih dari 200 juta dolar aset digital. Jalur serangan dapat dibagi menjadi tiga tahap berikut:
①发起 pinjaman kilat, mengendalikan harga
Hacker pertama-tama memanfaatkan slippage maksimum untuk melakukan flash swap 10 miliar haSUI melalui pinjaman kilat, meminjam banyak dana untuk manipulasi harga.
Pinjaman kilat memungkinkan pengguna untuk meminjam dan mengembalikan dana dalam satu transaksi, hanya dengan membayar biaya, memiliki karakteristik leverage tinggi, risiko rendah, dan biaya rendah. Para peretas memanfaatkan mekanisme ini untuk menurunkan harga pasar dalam waktu singkat, dan mengendalikannya dengan tepat dalam rentang yang sangat sempit.
Kemudian penyerang bersiap untuk membuat posisi likuiditas yang sangat sempit, dengan rentang harga yang ditetapkan secara tepat antara penawaran terendah 300,000 dan harga tertinggi 300,200, dengan lebar harga hanya 1,00496621%.
Dengan cara di atas, hacker berhasil mengendalikan harga haSUI menggunakan jumlah token yang cukup besar dan likuiditas yang sangat tinggi. Setelah itu, mereka juga mengendalikan beberapa token yang tidak memiliki nilai nyata.
② Menambahkan likuiditas
Penyerang membuat posisi likuiditas yang sempit, mengklaim menambahkan likuiditas, tetapi karena adanya celah di fungsi checked_shlw, akhirnya hanya menerima 1 token.
Pada dasarnya disebabkan oleh dua alasan:
Pengaturan masker terlalu lebar: setara dengan batas atas penambahan likuiditas yang sangat besar, yang menyebabkan verifikasi terhadap input pengguna dalam kontrak menjadi tidak berarti. Peretas dengan mengatur parameter yang tidak normal, membangun input yang selalu lebih kecil dari batas tersebut, sehingga berhasil melewati deteksi overflow.
Data overflow terputus: Saat melakukan operasi pergeseran n << 64 pada nilai n, terjadi pemotongan data karena pergeseran melampaui lebar bit efektif dari tipe data uint256. Bagian overflow tinggi secara otomatis dibuang, yang menyebabkan hasil perhitungan jauh di bawah yang diharapkan, sehingga sistem meremehkan jumlah haSUI yang diperlukan untuk pertukaran. Hasil perhitungan akhir kurang dari 1, namun karena dibulatkan ke atas, hasil akhirnya menjadi 1, yaitu hacker hanya perlu menambahkan 1 token, sehingga dapat menukarkan likuiditas yang besar.
③ menarik likuiditas
Melakukan pembayaran pinjaman kilat, mempertahankan keuntungan besar. Akhirnya menarik aset token senilai total ratusan juta dolar dari beberapa kolam likuiditas.
Situasi kehilangan dana sangat serius, serangan menyebabkan aset berikut dicuri:
1290 juta SUI
6000 juta USDC
490 juta dollar Haedal Staked SUI
1950 juta dolar TOILET
Token lain seperti HIPPO dan LOFI turun 75--80%, likuiditas menipis
2.2 Penyebab dan karakteristik kerentanan ini
Cetus memiliki tiga karakteristik dari celah ini:
Biaya perbaikan sangat rendah: Di satu sisi, penyebab mendasar dari peristiwa Cetus adalah kesalahan dalam pustaka matematika Cetus, bukan kesalahan mekanisme harga protokol atau kesalahan arsitektur dasar. Di sisi lain, celah tersebut terbatas hanya pada Cetus itu sendiri, dan tidak ada hubungannya dengan kode SUI. Akar masalah terletak pada satu kondisi batas yang perlu diubah hanya dua baris kode untuk sepenuhnya menghilangkan risiko; setelah perbaikan selesai, dapat segera diterapkan ke jaringan utama untuk memastikan logika kontrak selanjutnya lengkap dan mencegah celah tersebut.
Tingkat kerahasiaan tinggi: Kontrak telah beroperasi dengan stabil tanpa cacat selama dua tahun, Cetus Protocol telah menjalani beberapa audit, tetapi celah tidak ditemukan, alasan utamanya adalah karena pustaka yang digunakan untuk perhitungan matematis tidak termasuk dalam lingkup audit.
Hacker memanfaatkan nilai ekstrem untuk secara tepat membangun rentang perdagangan, menciptakan skenario yang sangat jarang dengan likuiditas yang sangat tinggi, yang hanya memicu logika anomali, menunjukkan bahwa masalah semacam ini sulit ditemukan melalui pengujian biasa. Masalah semacam ini sering terletak di area buta dalam pandangan orang, sehingga terpendam cukup lama sebelum ditemukan.
Move unggul dalam keamanan sumber daya dan pemeriksaan tipe dibandingkan berbagai bahasa kontrak pintar, dengan deteksi bawaan untuk masalah overflow integer dalam situasi umum. Overflow ini terjadi karena saat menambahkan likuiditas, nilai yang salah digunakan untuk pemeriksaan batas atas dalam penghitungan jumlah token yang dibutuhkan, dan operasi pergeseran digunakan sebagai pengganti operasi perkalian biasa. Jika menggunakan operasi penjumlahan, pengurangan, perkalian, dan pembagian biasa, Move akan secara otomatis memeriksa situasi overflow dan tidak akan mengalami masalah pemotongan bit tinggi seperti ini.
Kerentanan serupa juga pernah muncul dalam bahasa lain, bahkan lebih mudah dieksploitasi karena kurangnya perlindungan terhadap overflow integer; sebelum pembaruan versi Solidity, pemeriksaan overflow sangat lemah. Dalam sejarah, terjadi overflow penjumlahan, overflow pengurangan, overflow perkalian, dan penyebab langsungnya adalah karena hasil perhitungan melebihi batas. Misalnya, kerentanan pada dua kontrak pintar BEC dan SMT dalam bahasa Solidity, berhasil melewati pernyataan pemeriksaan dalam kontrak dengan parameter yang dirancang dengan cermat, sehingga melakukan serangan dengan transfer berlebih.
3. Mekanisme konsensus SUI
3.1 Ringkasan Mekanisme Konsensus SUI
Gambaran Umum:
SUI mengambil kerangka bukti kepemilikan yang didelegasikan (Delegated Proof of Stake, disingkat DPoS), mekanisme DPoS meskipun dapat meningkatkan throughput transaksi, namun tidak dapat memberikan tingkat desentralisasi yang sangat tinggi seperti PoW (Proof of Work). Oleh karena itu, tingkat desentralisasi SUI relatif rendah, ambang batas pemerintahan relatif tinggi, dan pengguna biasa sulit untuk langsung mempengaruhi pemerintahan jaringan.
Rata-rata jumlah validator: 106
Rata-rata periode Epoch: 24 jam
Proses mekanisme:
Penugasan Hak: Pengguna biasa tidak perlu menjalankan node sendiri, cukup dengan mempertaruhkan SUI dan mendelegasikannya kepada validator kandidat, mereka dapat berpartisipasi dalam jaminan keamanan jaringan dan distribusi hadiah. Mekanisme ini dapat menurunkan ambang partisipasi bagi pengguna biasa, sehingga mereka dapat berpartisipasi dalam konsensus jaringan dengan "mempekerjakan" validator yang dipercaya. Ini juga merupakan salah satu keuntungan DPoS dibandingkan dengan PoS tradisional.
Mewakili putaran pembuatan blok: Sebagian kecil validator yang dipilih membuat blok dalam urutan tetap atau acak, meningkatkan kecepatan konfirmasi dan meningkatkan TPS.
Pemilihan dinamis: Setelah setiap periode penghitungan suara berakhir, berdasarkan bobot suara, dilakukan rotasi dinamis untuk memilih kembali kumpulan Validator, memastikan vitalitas node, konsistensi kepentingan, dan desentralisasi.
Keuntungan DPoS:
Efisiensi Tinggi: Karena jumlah node penghasil blok dapat dikendalikan, jaringan dapat menyelesaikan konfirmasi dalam tingkat milidetik, memenuhi kebutuhan TPS yang tinggi.
Biaya rendah: Jumlah node yang terlibat dalam konsensus lebih sedikit, sehingga bandwidth jaringan dan sumber daya komputasi yang dibutuhkan untuk sinkronisasi informasi dan agregasi tanda tangan berkurang secara signifikan. Dengan demikian, biaya perangkat keras dan operasional menurun, permintaan terhadap daya komputasi menurun, dan biaya menjadi lebih rendah. Pada akhirnya, ini menghasilkan biaya transaksi pengguna yang lebih rendah.
Keamanan tinggi: Mekanisme staking dan delegasi membuat biaya dan risiko serangan meningkat secara bersamaan; dipadukan dengan mekanisme penyitaan di blockchain, secara efektif menekan perilaku jahat.
Sementara itu, dalam mekanisme konsensus SUI, digunakan algoritma berbasis BFT (Byzantine Fault Tolerance), yang mengharuskan lebih dari dua pertiga suara dari validator untuk mencapai kesepakatan sebelum transaksi dapat dikonfirmasi. Mekanisme ini memastikan bahwa meskipun sejumlah kecil node berbuat jahat, jaringan tetap dapat beroperasi dengan aman dan efisien. Setiap peningkatan atau keputusan besar juga memerlukan lebih dari dua pertiga suara untuk dilaksanakan.
Pada dasarnya, DPoS adalah suatu kompromi dari segitiga yang tidak mungkin, yang melakukan kompromi antara desentralisasi dan efisiensi. DPoS memilih untuk mengurangi jumlah node aktif yang memproduksi blok untuk mendapatkan kinerja yang lebih tinggi dalam "segitiga tidak mungkin" antara keamanan-desentralisasi-skala, dibandingkan dengan PoS atau PoW murni yang mengorbankan tingkat desentralisasi yang lengkap, tetapi secara signifikan meningkatkan throughput jaringan dan kecepatan transaksi.
![Keyakinan yang Kuat Setelah Krisis Keamanan: Mengapa SUI Masih Memiliki Potensi Pertumbuhan Jangka Panjang?](