Vale a pena notar que esta é a mesma biblioteca que @CetusProtocol construiu, da qual literalmente TODO CLAMM no Sui depende.
A correção transforma este trecho bastante duvidoso:
public fun sub(arg0: I128, arg1: I128) : I128 {
let v0 = I128{bits: u128_neg(arg1.bits)};
add(arg0, wrapping_add(v0, from(1)))
}
Em uma proteção adequada contra overflow:
public fun sub(arg0: I128, arg1: I128) : I128 {
let v0 = wrapping_sub(arg0, arg1);
let v1 = sign(arg0) != sign(arg1) && sign(arg0) != sign(v0);
assert!(!v1, 0);
v0
}
Um enorme agradecimento ao @bluefinapp por garantir todo o ecossistema Sui CLAMM! Este é precisamente o tipo de trabalho rigoroso de segurança que beneficia a todos.
Durante a nossa verificação formal em andamento com os nossos parceiros da @AsymptoticTech, do integer-mate – uma biblioteca matemática central utilizada em muitos protocolos Sui – identificámos um caso limite onde a subtração com sinal poderia comportar-se de forma incorreta quando o segundo operando atingisse o seu valor mínimo possível.
Embora o bug não tivesse impacto nos sistemas da Bluefin, a incerteza sobre como outros poderiam usar a biblioteca levou-nos a agir rapidamente - preparando uma implementação melhorada com os nossos parceiros de segurança e trabalhando em estreita colaboração com a Sui Foundation para divulgar a informação aos DEXs afetados, para que pudessem corrigir este bug.
Obrigado a todos os envolvidos: @AsymptoticTech pela análise profunda e por identificar o caso limite, @osec_io’s @NotDeGhost por entrar na verificação, e @SuiNetwork por liderar uma resposta rápida e coordenada.
Este é o tipo de colaboração que distingue a Sui. A segurança é um compromisso contínuo, e esta identificação e resolução rápida mostram que estamos juntos nesta jornada.
Continuaremos a investir em verificação formal, revisões de arquitetura e coordenação em todo o ecossistema para elevar o padrão de DeFi seguro e verificável.
2
5,88 mil
O conteúdo apresentado nesta página é fornecido por terceiros. Salvo indicação em contrário, a OKX não é o autor dos artigos citados e não reivindica quaisquer direitos de autor nos materiais. O conteúdo é fornecido apenas para fins informativos e não representa a opinião da OKX. Não se destina a ser um endosso de qualquer tipo e não deve ser considerado conselho de investimento ou uma solicitação para comprar ou vender ativos digitais. Na medida em que a IA generativa é utilizada para fornecer resumos ou outras informações, esse mesmo conteúdo gerado por IA pode ser impreciso ou inconsistente. Leia o artigo associado para obter mais detalhes e informações. A OKX não é responsável pelo conteúdo apresentado nos sites de terceiros. As detenções de ativos digitais, incluindo criptomoedas estáveis e NFTs, envolvem um nível de risco elevado e podem sofrer grandes flutuações. Deve considerar cuidadosamente se o trading ou a detenção de ativos digitais é adequado para si à luz da sua condição financeira.