Il convient de noter que c'est exactement la même bibliothèque que @CetusProtocol a construite, sur laquelle repose littéralement TOUS les CLAMM sur Sui.
Le correctif transforme ce morceau plutôt douteux :
public fun sub(arg0: I128, arg1: I128) : I128 {
let v0 = I128{bits: u128_neg(arg1.bits)};
add(arg0, wrapping_add(v0, from(1)))
}
En une protection contre le débordement appropriée :
public fun sub(arg0: I128, arg1: I128) : I128 {
let v0 = wrapping_sub(arg0, arg1);
let v1 = sign(arg0) != sign(arg1) && sign(arg0) != sign(v0);
assert!(!v1, 0);
v0
}
Un immense bravo à @bluefinapp pour avoir sécurisé l'ensemble de l'écosystème Sui CLAMM ! C'est précisément ce genre de travail de sécurité rigoureux qui bénéficie à tout le monde.
Lors de notre vérification formelle en cours avec nos partenaires de @AsymptoticTech, concernant integer-mate – une bibliothèque mathématique essentielle utilisée dans de nombreux protocoles Sui – nous avons identifié un cas particulier où la soustraction signée pouvait se comporter de manière incorrecte lorsque le deuxième opérande atteignait sa valeur minimale possible.
Bien que le bug n'ait eu aucun impact sur les systèmes de Bluefin, l'incertitude quant à la façon dont d'autres pourraient utiliser la bibliothèque nous a poussés à agir rapidement - en préparant une mise en œuvre améliorée avec nos partenaires en sécurité et en travaillant en étroite collaboration avec la Sui Foundation pour informer les DEX concernés afin qu'ils puissent corriger ce bug.
Merci à tous ceux qui ont participé : @AsymptoticTech pour l'analyse approfondie et la détection du cas particulier, @osec_io’s @NotDeGhost pour son intervention dans la vérification, et @SuiNetwork pour avoir dirigé une réponse rapide et coordonnée.
C'est le genre de collaboration qui distingue Sui. La sécurité est un engagement continu, et cette identification rapide et cette solution montrent que nous sommes tous ensemble dans cette démarche.
Nous continuerons à investir dans la vérification formelle, les revues d'architecture et la coordination à l'échelle de l'écosystème pour élever le niveau de sécurité et de vérifiabilité dans la DeFi.
2
7,35 k
Le contenu de cette page est fourni par des tiers. Sauf indication contraire, OKX n’est pas l’auteur du ou des articles cités et ne revendique aucun droit d’auteur sur le contenu. Le contenu est fourni à titre d’information uniquement et ne représente pas les opinions d’OKX. Il ne s’agit pas d’une approbation de quelque nature que ce soit et ne doit pas être considéré comme un conseil en investissement ou une sollicitation d’achat ou de vente d’actifs numériques. Dans la mesure où l’IA générative est utilisée pour fournir des résumés ou d’autres informations, ce contenu généré par IA peut être inexact ou incohérent. Veuillez lire l’article associé pour obtenir davantage de détails et d’informations. OKX n’est pas responsable du contenu hébergé sur des sites tiers. La détention d’actifs numériques, y compris les stablecoins et les NFT, implique un niveau de risque élevé et leur valeur peut considérablement fluctuer. Examinez soigneusement votre situation financière pour déterminer si le trading ou la détention d’actifs numériques vous convient.