Crença firme após a crise de segurança: por que o SUI ainda possui potencial de crescimento a longo prazo?
TL;DR
A vulnerabilidade do Cetus origina-se da implementação do contrato, e não da linguagem SUI ou Move em si:
O ataque baseou-se na falta de verificação de limites nas funções aritméticas do protocolo Cetus------vulnerabilidades lógicas causadas por uma máscara excessivamente ampla e estouro de deslocamento, sem relação com o modelo de segurança de recursos da cadeia SUI ou da linguagem Move. A vulnerabilidade pode ser corrigida com "uma verificação de limites em uma linha" e não afeta a segurança central de todo o ecossistema.
O mecanismo SUI de "centralização razoável" revela seu valor em tempos de crise:
Embora o SUI tenha uma leve tendência à centralização devido a funcionalidades como o ciclo de validadores DPoS e a congelamento de listas negras, isso se revelou útil na resposta ao incidente CETUS: os validadores sincronizaram rapidamente endereços maliciosos na Deny List e recusaram-se a incluir transações relacionadas, resultando no congelamento instantâneo de mais de 160 milhões de dólares. Isso é essencialmente uma forma positiva de "keynesianismo em cadeia", onde uma regulação macroeconômica efetiva teve um impacto positivo no sistema econômico.
Reflexões e sugestões sobre a segurança técnica:
Matemática e verificação de limites: introduzir afirmações de limites superior e inferior para todas as operações aritméticas críticas (como deslocamento, multiplicação e divisão), e realizar fuzzing de valores extremos e verificação formal. Além disso, é necessário reforçar a auditoria e monitorização: além da auditoria de código geral, adicionar uma equipa de auditoria matemática especializada e detecção de comportamento de transações em tempo real na cadeia, para capturar precocemente divisões anômalas ou grandes empréstimos relâmpago.
Resumo e sugestões sobre o mecanismo de garantia de fundos:
No evento Cetus, SUI colaborou de forma eficiente com a equipe do projeto, congelando com sucesso mais de 160 milhões de dólares em fundos e promovendo um plano de reembolso de 100%, demonstrando uma forte capacidade de resposta em cadeia e um senso de responsabilidade ecológica. A fundação SUI também adicionou 10 milhões de dólares em fundos de auditoria para reforçar a linha de defesa de segurança. No futuro, pode-se avançar ainda mais com sistemas de rastreamento em cadeia, ferramentas de segurança construídas em conjunto com a comunidade, seguros descentralizados e outros mecanismos para melhorar o sistema de garantia de fundos.
A expansão diversificada do ecossistema SUI
A SUI conseguiu rapidamente realizar a transição de "nova cadeia" para "ecossistema forte" em menos de dois anos, construindo um ecossistema diversificado que abrange várias trilhas, como stablecoins, DEX, infraestrutura, DePIN e jogos. O tamanho total das stablecoins ultrapassou 1 bilhão de dólares, fornecendo uma sólida base de liquidez para o módulo DeFi; o TVL ocupa a 8ª posição global, a atividade de negociação é a 5ª global e a 3ª em redes não EVM (apenas atrás do Bitcoin e Solana), mostrando uma forte capacidade de participação dos usuários e retenção de ativos.
1.Uma reação em cadeia provocada por um ataque
No dia 22 de maio de 2025, o principal protocolo AMM Cetus, implantado na rede SUI, foi alvo de um ataque hacker. O atacante explorou uma falha lógica relacionada ao "problema de estouro de inteiro", realizando uma manipulação precisa, resultando em perdas de mais de 200 milhões de dólares em ativos. Este incidente não é apenas um dos maiores acidentes de segurança no espaço DeFi até agora este ano, mas também se tornou o ataque hacker mais devastador desde o lançamento da mainnet da SUI.
De acordo com os dados da DefiLlama, o TVL total da cadeia SUI caiu mais de 330 milhões de dólares no dia do ataque, e o montante bloqueado do protocolo Cetus evaporou instantaneamente 84%, caindo para 38 milhões de dólares. Como consequência, vários tokens populares na SUI (incluindo Lofi, Sudeng, Squirtle, entre outros) caíram entre 76% e 97% em apenas uma hora, gerando uma ampla preocupação no mercado sobre a segurança e a estabilidade ecológica da SUI.
Mas após essa onda de choque, o ecossistema SUI demonstrou uma forte resiliência e capacidade de recuperação. Embora o evento Cetus tenha causado flutuações de confiança a curto prazo, os fundos on-chain e a atividade dos usuários não enfrentaram um declínio duradouro, mas sim impulsionaram uma atenção significativa em todo o ecossistema para a segurança, construção de infraestrutura e qualidade dos projetos.
A Klein Labs irá analisar as causas deste ataque, o mecanismo de consenso dos nós da SUI, a segurança da linguagem MOVE e o desenvolvimento do ecossistema da SUI, organizando o atual panorama ecológico desta blockchain que ainda se encontra em fase inicial de desenvolvimento, e discutindo seu potencial de desenvolvimento futuro.
2. Análise das causas do ataque ao evento Cetus
2.1 Processo de implementação de ataque
De acordo com a análise técnica do incidente de ataque ao Cetus pela equipe Slow Mist, os hackers conseguiram explorar uma vulnerabilidade crítica de estouro aritmético no protocolo, utilizando empréstimos relâmpago, manipulação de preços precisa e falhas de contrato, roubando mais de 200 milhões de dólares em ativos digitais em um curto espaço de tempo. O caminho do ataque pode ser dividido aproximadamente nas seguintes três fases:
①Iniciar um empréstimo relâmpago, manipular o preço
Os hackers primeiro utilizaram um empréstimo relâmpago de 10 bilhões haSUI com o maior deslizamento, emprestando grandes quantidades de fundos para manipular os preços.
O empréstimo relâmpago permite que os usuários tomem emprestado e devolvam fundos na mesma transação, pagando apenas uma taxa, apresentando características de alta alavancagem, baixo risco e baixo custo. Hackers aproveitaram esse mecanismo para reduzir rapidamente o preço do mercado e controlá-lo com precisão dentro de um intervalo muito estreito.
Em seguida, o atacante se preparou para criar uma posição de liquidez extremamente estreita, definindo com precisão a faixa de preços entre a menor oferta de 300,000 (e o preço máximo de 300,200, com uma largura de preço de apenas 1.00496621%.
Através do método acima, os hackers utilizaram uma quantidade suficiente de tokens e uma enorme liquidez para manipular com sucesso o preço do haSUI. Em seguida, eles também manipularam vários tokens sem valor real.
②Adicionar liquidez
O atacante cria posições de liquidez estreitas, afirma que adicionou liquidez, mas devido a uma vulnerabilidade na função checked_shlw, acaba por receber apenas 1 token.
É essencialmente devido a duas razões:
Definição de máscara muito ampla: equivale a um limite de adição de liquidez extremamente alto, tornando a verificação de entradas dos usuários no contrato praticamente inútil. Hackers configuram parâmetros anormais, construindo entradas que estão sempre abaixo desse limite, contornando assim a detecção de estouro.
O estouro de dados foi truncado: ao executar a operação de deslocamento n << 64 no valor n, ocorreu truncamento de dados devido ao deslocamento exceder a largura de bits efetiva do tipo de dado uint256 (256 bits). A parte de estouro mais alta foi automaticamente descartada, resultando em um resultado de cálculo muito inferior ao esperado, levando o sistema a subestimar a quantidade de haSUI necessária para a troca. O resultado final do cálculo foi inferior a 1, mas como foi arredondado para cima, o resultado final foi igual a 1, ou seja, o hacker só precisou adicionar 1 token para obter uma enorme liquidez.
③ Retirar liquidez
Realizar o reembolso do empréstimo relâmpago, mantendo lucros elevados. No final, retirar ativos de token com um valor total de várias centenas de milhões de dólares de múltiplas pools de liquidez.
A situação de perda de fundos é grave, o ataque resultou no roubo dos seguintes ativos:
12,9 milhões de SUI (cerca de US$ 54 milhões)
6000万美元 USDC
490万美元 Haedal Staked SUI
1950万美元 TOILET
Outros tokens como HIPPO e LOFI caíram 75--80%, a liquidez esgotou.
2.2 Causas e características da vulnerabilidade
A vulnerabilidade do Cetus tem três características:
O custo de reparação é extremamente baixo: por um lado, a causa raiz do incidente Cetus é uma falha na biblioteca matemática Cetus, e não um erro no mecanismo de preços do protocolo ou na arquitetura subjacente. Por outro lado, a vulnerabilidade é limitada apenas ao Cetus em si, e não tem relação com o código do SUI. A raiz da vulnerabilidade reside em uma verificação de condição de limite, que pode ser completamente eliminada com a modificação de apenas duas linhas de código; após a reparação, pode ser imediatamente implantada na mainnet, garantindo que a lógica do contrato subsequente esteja completa e eliminando essa vulnerabilidade.
Alta ocultação: O contrato está em operação estável sem falhas durante dois anos, o Cetus Protocol foi auditado várias vezes, mas nenhuma vulnerabilidade foi encontrada, sendo a principal razão o fato de a biblioteca Integer_Mate, utilizada para cálculos matemáticos, não ter sido incluída no escopo da auditoria.
Os hackers utilizam valores extremos para construir precisamente intervalos de negociação, criando cenários extremamente raros de alta liquidez, que ativam a lógica anômala, indicando que esse tipo de problema é difícil de detectar através de testes comuns. Esses problemas geralmente estão em zonas cegas na visão das pessoas, e por isso permanecem ocultos por muito tempo até serem descobertos.
Não é um problema exclusivo do Move:
Move é superior a várias linguagens de contratos inteligentes em segurança de recursos e verificação de tipos, incorporando detecção nativa para problemas de estouro de inteiros em cenários comuns. O estouro ocorreu porque, ao adicionar liquidez, foi utilizado um valor incorreto para a verificação do limite superior ao calcular a quantidade de tokens necessária, e a operação de deslocamento foi usada em vez da multiplicação convencional. Se fossem usadas as operações convencionais de adição, subtração, multiplicação ou divisão, o Move automaticamente verificaria a situação de estouro, evitando esse tipo de truncamento de bits altos.
Vulnerabilidades semelhantes também apareceram em outras linguagens (como Solidity, Rust), sendo até mais fáceis de serem exploradas devido à sua falta de proteção contra estouro de inteiros; antes da atualização da versão do Solidity, a verificação de estouros era muito fraca. Historicamente, ocorreram estouros de adição, estouros de subtração, estouros de multiplicação, etc., sendo a causa direta o resultado da operação ultrapassando o limite. Por exemplo, as vulnerabilidades nos contratos inteligentes BEC e SMT da linguagem Solidity foram exploradas através de parâmetros cuidadosamente construídos, contornando as instruções de verificação no contrato e permitindo transferências excessivas para realizar ataques.
3. Mecanismo de consenso do SUI
3.1 Introdução ao Mecanismo de Consenso SUI
Visão geral:
SUI adota um quadro de prova de participação delegada (DeleGated Proof of Stake, abreviado DPoS)). Embora o mecanismo DPoS possa aumentar a taxa de transações, não consegue oferecer um nível de descentralização tão elevado quanto o PoW (prova de trabalho). Assim, o nível de descentralização do SUI é relativamente baixo, com um alto limiar de governança, dificultando a influência direta dos usuários comuns na governança da rede.
Número médio de validadores: 106
Período médio de Epoch: 24 horas
Mecanismo de processo:
Delegação de direitos: Os usuários comuns não precisam executar nós por conta própria, basta que façam staking de SUI e deleguem para um validador candidato, podendo assim participar da garantia de segurança da rede e da distribuição de recompensas. Este mecanismo pode reduzir a barreira de entrada para usuários comuns, permitindo que participem do consenso da rede através da "contratação" de validadores de confiança. Esta é também uma grande vantagem do DPoS em relação ao PoS tradicional.
Representação da ronda de blocos: um pequeno número de validadores selecionados cria blocos em uma ordem fixada ou aleatória, aumentando a velocidade de confirmação e melhorando o TPS.
Eleição dinâmica: após o término de cada ciclo de contagem de votos, realiza-se uma rotação dinâmica com base no peso dos votos, reelecionando o conjunto de Validadores, garantindo a vitalidade dos nós, a consistência de interesses e a descentralização.
Vantagens do DPoS:
Alta eficiência: devido ao número controlado de nós de blocos, a rede pode completar a confirmação em milissegundos, atendendo à alta demanda de TPS.
Baixo custo: Menos nós participam do consenso, reduzindo significativamente a largura de banda da rede e os recursos computacionais necessários para a sincronização de informações e agregação de assinaturas. Assim, os custos de hardware e operação diminuem, e a demanda por poder de computação é reduzida, resultando em custos mais baixos. No final, isso resulta em taxas de transação mais baixas para os usuários.
Alta segurança: os mecanismos de staking e delegação aumentam em sincronia os custos e riscos de ataque; juntamente com o mecanismo de confisco na blockchain, eficazmente inibe comportamentos maliciosos.
Ao mesmo tempo, no mecanismo de consenso do SUI, foi adotado um algoritmo baseado em BFT (Tolerância a Falhas Bizantinas), que exige que mais de dois terços dos votos dos validadores concordem para confirmar uma transação. Este mecanismo garante que, mesmo que um pequeno número de nós aja de forma maliciosa, a rede possa manter-se segura e operar de forma eficiente. Para realizar qualquer atualização ou decisão importante, também é necessário que mais de dois terços dos votos concordem para que a implementação ocorra.
Em essência, o DPoS é uma solução de compromisso para o triângulo impossível, equilibrando descentralização e eficiência. O DPoS, dentro do "triângulo impossível" de segurança-descentralização-escalabilidade, opta por reduzir o número de nós de bloco ativos para obter um desempenho superior, abrindo mão de um certo grau de completa descentralização em comparação com PoS ou PoW, mas aumentando significativamente a capacidade de processamento da rede e a velocidade das transações.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
18 gostos
Recompensa
18
3
Partilhar
Comentar
0/400
AlphaLeaker
· 4h atrás
O ataque não é culpa do Sui, foi a codificação que falhou.
Ver originalResponder0
NFTArtisanHQ
· 08-03 04:20
hmm... a questão do cetus? apenas um pequeno contratempo na evolução dialética do sui, para ser honesto. dá-me fortes vibrações dos ready-mades do duchamp - o caos a gerar inovação, de fato.
Ver originalResponder0
HodlVeteran
· 08-03 04:19
Uma pessoa da idade ainda está na indústria automotiva, o SUI teve um acidente, mas depois conserta e volta à estrada.
A resiliência do ecossistema SUI destaca-se, mantendo um potencial de crescimento a longo prazo mesmo após eventos de segurança.
Crença firme após a crise de segurança: por que o SUI ainda possui potencial de crescimento a longo prazo?
TL;DR
O ataque baseou-se na falta de verificação de limites nas funções aritméticas do protocolo Cetus------vulnerabilidades lógicas causadas por uma máscara excessivamente ampla e estouro de deslocamento, sem relação com o modelo de segurança de recursos da cadeia SUI ou da linguagem Move. A vulnerabilidade pode ser corrigida com "uma verificação de limites em uma linha" e não afeta a segurança central de todo o ecossistema.
Embora o SUI tenha uma leve tendência à centralização devido a funcionalidades como o ciclo de validadores DPoS e a congelamento de listas negras, isso se revelou útil na resposta ao incidente CETUS: os validadores sincronizaram rapidamente endereços maliciosos na Deny List e recusaram-se a incluir transações relacionadas, resultando no congelamento instantâneo de mais de 160 milhões de dólares. Isso é essencialmente uma forma positiva de "keynesianismo em cadeia", onde uma regulação macroeconômica efetiva teve um impacto positivo no sistema econômico.
Matemática e verificação de limites: introduzir afirmações de limites superior e inferior para todas as operações aritméticas críticas (como deslocamento, multiplicação e divisão), e realizar fuzzing de valores extremos e verificação formal. Além disso, é necessário reforçar a auditoria e monitorização: além da auditoria de código geral, adicionar uma equipa de auditoria matemática especializada e detecção de comportamento de transações em tempo real na cadeia, para capturar precocemente divisões anômalas ou grandes empréstimos relâmpago.
No evento Cetus, SUI colaborou de forma eficiente com a equipe do projeto, congelando com sucesso mais de 160 milhões de dólares em fundos e promovendo um plano de reembolso de 100%, demonstrando uma forte capacidade de resposta em cadeia e um senso de responsabilidade ecológica. A fundação SUI também adicionou 10 milhões de dólares em fundos de auditoria para reforçar a linha de defesa de segurança. No futuro, pode-se avançar ainda mais com sistemas de rastreamento em cadeia, ferramentas de segurança construídas em conjunto com a comunidade, seguros descentralizados e outros mecanismos para melhorar o sistema de garantia de fundos.
A SUI conseguiu rapidamente realizar a transição de "nova cadeia" para "ecossistema forte" em menos de dois anos, construindo um ecossistema diversificado que abrange várias trilhas, como stablecoins, DEX, infraestrutura, DePIN e jogos. O tamanho total das stablecoins ultrapassou 1 bilhão de dólares, fornecendo uma sólida base de liquidez para o módulo DeFi; o TVL ocupa a 8ª posição global, a atividade de negociação é a 5ª global e a 3ª em redes não EVM (apenas atrás do Bitcoin e Solana), mostrando uma forte capacidade de participação dos usuários e retenção de ativos.
1.Uma reação em cadeia provocada por um ataque
No dia 22 de maio de 2025, o principal protocolo AMM Cetus, implantado na rede SUI, foi alvo de um ataque hacker. O atacante explorou uma falha lógica relacionada ao "problema de estouro de inteiro", realizando uma manipulação precisa, resultando em perdas de mais de 200 milhões de dólares em ativos. Este incidente não é apenas um dos maiores acidentes de segurança no espaço DeFi até agora este ano, mas também se tornou o ataque hacker mais devastador desde o lançamento da mainnet da SUI.
De acordo com os dados da DefiLlama, o TVL total da cadeia SUI caiu mais de 330 milhões de dólares no dia do ataque, e o montante bloqueado do protocolo Cetus evaporou instantaneamente 84%, caindo para 38 milhões de dólares. Como consequência, vários tokens populares na SUI (incluindo Lofi, Sudeng, Squirtle, entre outros) caíram entre 76% e 97% em apenas uma hora, gerando uma ampla preocupação no mercado sobre a segurança e a estabilidade ecológica da SUI.
Mas após essa onda de choque, o ecossistema SUI demonstrou uma forte resiliência e capacidade de recuperação. Embora o evento Cetus tenha causado flutuações de confiança a curto prazo, os fundos on-chain e a atividade dos usuários não enfrentaram um declínio duradouro, mas sim impulsionaram uma atenção significativa em todo o ecossistema para a segurança, construção de infraestrutura e qualidade dos projetos.
A Klein Labs irá analisar as causas deste ataque, o mecanismo de consenso dos nós da SUI, a segurança da linguagem MOVE e o desenvolvimento do ecossistema da SUI, organizando o atual panorama ecológico desta blockchain que ainda se encontra em fase inicial de desenvolvimento, e discutindo seu potencial de desenvolvimento futuro.
2. Análise das causas do ataque ao evento Cetus
2.1 Processo de implementação de ataque
De acordo com a análise técnica do incidente de ataque ao Cetus pela equipe Slow Mist, os hackers conseguiram explorar uma vulnerabilidade crítica de estouro aritmético no protocolo, utilizando empréstimos relâmpago, manipulação de preços precisa e falhas de contrato, roubando mais de 200 milhões de dólares em ativos digitais em um curto espaço de tempo. O caminho do ataque pode ser dividido aproximadamente nas seguintes três fases:
①Iniciar um empréstimo relâmpago, manipular o preço
Os hackers primeiro utilizaram um empréstimo relâmpago de 10 bilhões haSUI com o maior deslizamento, emprestando grandes quantidades de fundos para manipular os preços.
O empréstimo relâmpago permite que os usuários tomem emprestado e devolvam fundos na mesma transação, pagando apenas uma taxa, apresentando características de alta alavancagem, baixo risco e baixo custo. Hackers aproveitaram esse mecanismo para reduzir rapidamente o preço do mercado e controlá-lo com precisão dentro de um intervalo muito estreito.
Em seguida, o atacante se preparou para criar uma posição de liquidez extremamente estreita, definindo com precisão a faixa de preços entre a menor oferta de 300,000 (e o preço máximo de 300,200, com uma largura de preço de apenas 1.00496621%.
Através do método acima, os hackers utilizaram uma quantidade suficiente de tokens e uma enorme liquidez para manipular com sucesso o preço do haSUI. Em seguida, eles também manipularam vários tokens sem valor real.
②Adicionar liquidez
O atacante cria posições de liquidez estreitas, afirma que adicionou liquidez, mas devido a uma vulnerabilidade na função checked_shlw, acaba por receber apenas 1 token.
É essencialmente devido a duas razões:
Definição de máscara muito ampla: equivale a um limite de adição de liquidez extremamente alto, tornando a verificação de entradas dos usuários no contrato praticamente inútil. Hackers configuram parâmetros anormais, construindo entradas que estão sempre abaixo desse limite, contornando assim a detecção de estouro.
O estouro de dados foi truncado: ao executar a operação de deslocamento n << 64 no valor n, ocorreu truncamento de dados devido ao deslocamento exceder a largura de bits efetiva do tipo de dado uint256 (256 bits). A parte de estouro mais alta foi automaticamente descartada, resultando em um resultado de cálculo muito inferior ao esperado, levando o sistema a subestimar a quantidade de haSUI necessária para a troca. O resultado final do cálculo foi inferior a 1, mas como foi arredondado para cima, o resultado final foi igual a 1, ou seja, o hacker só precisou adicionar 1 token para obter uma enorme liquidez.
③ Retirar liquidez
Realizar o reembolso do empréstimo relâmpago, mantendo lucros elevados. No final, retirar ativos de token com um valor total de várias centenas de milhões de dólares de múltiplas pools de liquidez.
A situação de perda de fundos é grave, o ataque resultou no roubo dos seguintes ativos:
12,9 milhões de SUI (cerca de US$ 54 milhões)
6000万美元 USDC
490万美元 Haedal Staked SUI
1950万美元 TOILET
Outros tokens como HIPPO e LOFI caíram 75--80%, a liquidez esgotou.
2.2 Causas e características da vulnerabilidade
A vulnerabilidade do Cetus tem três características:
O custo de reparação é extremamente baixo: por um lado, a causa raiz do incidente Cetus é uma falha na biblioteca matemática Cetus, e não um erro no mecanismo de preços do protocolo ou na arquitetura subjacente. Por outro lado, a vulnerabilidade é limitada apenas ao Cetus em si, e não tem relação com o código do SUI. A raiz da vulnerabilidade reside em uma verificação de condição de limite, que pode ser completamente eliminada com a modificação de apenas duas linhas de código; após a reparação, pode ser imediatamente implantada na mainnet, garantindo que a lógica do contrato subsequente esteja completa e eliminando essa vulnerabilidade.
Alta ocultação: O contrato está em operação estável sem falhas durante dois anos, o Cetus Protocol foi auditado várias vezes, mas nenhuma vulnerabilidade foi encontrada, sendo a principal razão o fato de a biblioteca Integer_Mate, utilizada para cálculos matemáticos, não ter sido incluída no escopo da auditoria.
Os hackers utilizam valores extremos para construir precisamente intervalos de negociação, criando cenários extremamente raros de alta liquidez, que ativam a lógica anômala, indicando que esse tipo de problema é difícil de detectar através de testes comuns. Esses problemas geralmente estão em zonas cegas na visão das pessoas, e por isso permanecem ocultos por muito tempo até serem descobertos.
Move é superior a várias linguagens de contratos inteligentes em segurança de recursos e verificação de tipos, incorporando detecção nativa para problemas de estouro de inteiros em cenários comuns. O estouro ocorreu porque, ao adicionar liquidez, foi utilizado um valor incorreto para a verificação do limite superior ao calcular a quantidade de tokens necessária, e a operação de deslocamento foi usada em vez da multiplicação convencional. Se fossem usadas as operações convencionais de adição, subtração, multiplicação ou divisão, o Move automaticamente verificaria a situação de estouro, evitando esse tipo de truncamento de bits altos.
Vulnerabilidades semelhantes também apareceram em outras linguagens (como Solidity, Rust), sendo até mais fáceis de serem exploradas devido à sua falta de proteção contra estouro de inteiros; antes da atualização da versão do Solidity, a verificação de estouros era muito fraca. Historicamente, ocorreram estouros de adição, estouros de subtração, estouros de multiplicação, etc., sendo a causa direta o resultado da operação ultrapassando o limite. Por exemplo, as vulnerabilidades nos contratos inteligentes BEC e SMT da linguagem Solidity foram exploradas através de parâmetros cuidadosamente construídos, contornando as instruções de verificação no contrato e permitindo transferências excessivas para realizar ataques.
3. Mecanismo de consenso do SUI
3.1 Introdução ao Mecanismo de Consenso SUI
Visão geral:
SUI adota um quadro de prova de participação delegada (DeleGated Proof of Stake, abreviado DPoS)). Embora o mecanismo DPoS possa aumentar a taxa de transações, não consegue oferecer um nível de descentralização tão elevado quanto o PoW (prova de trabalho). Assim, o nível de descentralização do SUI é relativamente baixo, com um alto limiar de governança, dificultando a influência direta dos usuários comuns na governança da rede.
Número médio de validadores: 106
Período médio de Epoch: 24 horas
Mecanismo de processo:
Delegação de direitos: Os usuários comuns não precisam executar nós por conta própria, basta que façam staking de SUI e deleguem para um validador candidato, podendo assim participar da garantia de segurança da rede e da distribuição de recompensas. Este mecanismo pode reduzir a barreira de entrada para usuários comuns, permitindo que participem do consenso da rede através da "contratação" de validadores de confiança. Esta é também uma grande vantagem do DPoS em relação ao PoS tradicional.
Representação da ronda de blocos: um pequeno número de validadores selecionados cria blocos em uma ordem fixada ou aleatória, aumentando a velocidade de confirmação e melhorando o TPS.
Eleição dinâmica: após o término de cada ciclo de contagem de votos, realiza-se uma rotação dinâmica com base no peso dos votos, reelecionando o conjunto de Validadores, garantindo a vitalidade dos nós, a consistência de interesses e a descentralização.
Vantagens do DPoS:
Alta eficiência: devido ao número controlado de nós de blocos, a rede pode completar a confirmação em milissegundos, atendendo à alta demanda de TPS.
Baixo custo: Menos nós participam do consenso, reduzindo significativamente a largura de banda da rede e os recursos computacionais necessários para a sincronização de informações e agregação de assinaturas. Assim, os custos de hardware e operação diminuem, e a demanda por poder de computação é reduzida, resultando em custos mais baixos. No final, isso resulta em taxas de transação mais baixas para os usuários.
Alta segurança: os mecanismos de staking e delegação aumentam em sincronia os custos e riscos de ataque; juntamente com o mecanismo de confisco na blockchain, eficazmente inibe comportamentos maliciosos.
Ao mesmo tempo, no mecanismo de consenso do SUI, foi adotado um algoritmo baseado em BFT (Tolerância a Falhas Bizantinas), que exige que mais de dois terços dos votos dos validadores concordem para confirmar uma transação. Este mecanismo garante que, mesmo que um pequeno número de nós aja de forma maliciosa, a rede possa manter-se segura e operar de forma eficiente. Para realizar qualquer atualização ou decisão importante, também é necessário que mais de dois terços dos votos concordem para que a implementação ocorra.
Em essência, o DPoS é uma solução de compromisso para o triângulo impossível, equilibrando descentralização e eficiência. O DPoS, dentro do "triângulo impossível" de segurança-descentralização-escalabilidade, opta por reduzir o número de nós de bloco ativos para obter um desempenho superior, abrindo mão de um certo grau de completa descentralização em comparação com PoS ou PoW, mas aumentando significativamente a capacidade de processamento da rede e a velocidade das transações.
3.2 Neste ataque, o SUI