Vale la pena señalar que esta es la misma biblioteca que creó @CetusProtocol, de la que literalmente DEPENDE CADA CLAMM en Sui.
La solución transforma este fragmento bastante dudoso:
public fun sub(arg0: I128, arg1: I128) : I128 {
let v0 = I128{bits: u128_neg(arg1.bits)};
add(arg0, wrapping_add(v0, from(1)))
}
En una protección adecuada contra desbordamientos:
public fun sub(arg0: I128, arg1: I128) : I128 {
let v0 = wrapping_sub(arg0, arg1);
let v1 = sign(arg0) != sign(arg1) && sign(arg0) != sign(v0);
assert!(!v1, 0);
v0
}
¡Un enorme reconocimiento a @bluefinapp por asegurar todo el ecosistema CLAMM de Sui! Este es precisamente el tipo de trabajo de seguridad riguroso que beneficia a todos.
Durante nuestra verificación formal en curso con nuestros socios de @AsymptoticTech, de integer-mate – una biblioteca matemática central utilizada en muchos protocolos de Sui – identificamos un caso límite donde la resta con signo podría comportarse incorrectamente cuando el segundo operando alcanzara su valor mínimo posible.
Aunque el error no tuvo impacto en los sistemas de Bluefin, la incertidumbre sobre cómo otros podrían usar la biblioteca nos llevó a actuar rápidamente: preparando una implementación mejorada con nuestros socios de seguridad y trabajando estrechamente con la Fundación Sui para difundir la información a los DEX afectados para que pudieran corregir este error.
Gracias a todos los involucrados: @AsymptoticTech por la profunda investigación y por detectar el caso límite, a @osec_io’s @NotDeGhost por intervenir en la verificación, y a @SuiNetwork por liderar una respuesta rápida y coordinada.
Este es el tipo de colaboración que distingue a Sui. La seguridad es un compromiso continuo, y esta rápida identificación y solución demuestra que estamos en esto juntos.
Continuaremos invirtiendo en verificación formal, revisiones de arquitectura y coordinación a nivel de ecosistema para elevar el estándar de DeFi seguro y verificable.
25
8,65 mil
El contenido de esta página lo proporcionan terceros. A menos que se indique lo contrario, OKX no es el autor de los artículos citados y no reclama ningún derecho de autor sobre los materiales. El contenido se proporciona únicamente con fines informativos y no representa las opiniones de OKX. No pretende ser un respaldo de ningún tipo y no debe ser considerado como un consejo de inversión o una solicitud para comprar o vender activos digitales. En la medida en que la IA generativa se utiliza para proporcionar resúmenes u otra información, dicho contenido generado por IA puede ser inexacto o incoherente. Lee el artículo vinculado para obtener más detalles e información. OKX no es responsable del contenido alojado en sitios de terceros. El holding de activos digitales, incluyendo stablecoins y NFT, implican un alto grado de riesgo y pueden fluctuar en gran medida. Debes considerar cuidadosamente si el trading o holding de activos digitales es adecuado para ti a la luz de tu situación financiera.