Creencia firme después de la crisis de seguridad: ¿por qué SUI todavía tiene potencial de crecimiento a largo plazo?
TL;DR
La vulnerabilidad de Cetus proviene de la implementación del contrato, y no del SUI o del lenguaje Move en sí.
El ataque se basa fundamentalmente en la falta de verificación de límites en las funciones aritméticas del protocolo Cetus------una vulnerabilidad lógica causada por una máscara demasiado amplia y un desbordamiento de desplazamiento, que no está relacionada con el modelo de seguridad de recursos de la cadena SUI o del lenguaje Move. La vulnerabilidad se puede corregir con "una línea de verificación de límites" y no afecta la seguridad central de todo el ecosistema.
El "centralismo razonable" en el mecanismo SUI muestra su valor en la crisis:
Aunque SUI presenta una ligera tendencia hacia la centralización al adoptar funciones como rondas de validadores DPoS y congelación de listas negras, esto fue precisamente útil en la respuesta al evento CETUS: los validadores sincronizaron rápidamente las direcciones maliciosas a la Deny List y rechazaron el empaquetado de transacciones relacionadas, logrando un congelamiento instantáneo de fondos por más de 160 millones de dólares. Esto es esencialmente una forma activa de "keynesianismo en cadena", donde el control macroeconómico efectivo tiene un efecto positivo en el sistema económico.
Reflexiones y recomendaciones sobre la seguridad técnica:
Matemáticas y verificación de límites: Introducir afirmaciones de límites superior e inferior para todas las operaciones aritméticas clave (como desplazamientos, multiplicación y división), y realizar fuzzing de valores extremos y verificación formal. Además, se necesita mejorar la auditoría y la supervisión: además de la auditoría de código general, se debe añadir un equipo de auditoría matemática profesional y detección en tiempo real de comportamientos de transacciones en cadena, para captar tempranamente divisiones anómalas o grandes préstamos relámpago;
Resumen y recomendaciones del mecanismo de garantía de fondos:
En el evento de Cetus, SUI colaboró de manera eficiente con el equipo del proyecto, logrando congelar más de 160 millones de dólares en fondos y promoviendo un plan de reembolso del 100%, lo que demuestra una fuerte capacidad de respuesta en la cadena y un sentido de responsabilidad ecológica. La Fundación SUI también añadió 10 millones de dólares en fondos para auditoría, reforzando así la línea de seguridad. En el futuro, se pueden impulsar mecanismos como un sistema de seguimiento en la cadena, herramientas de seguridad construidas por la comunidad, y seguros descentralizados, para perfeccionar el sistema de garantía de fondos.
La expansión diversa del ecosistema SUI
SUI logró rápidamente una transición de "nueva cadena" a "ecosistema fuerte" en menos de dos años, construyendo un mapa ecológico diversificado que abarca múltiples pistas como stablecoins, DEX, infraestructura, DePIN y juegos. La escala total de stablecoins superó los 1,000 millones de dólares, proporcionando una sólida base de liquidez para el módulo DeFi; el TVL ocupa el octavo lugar a nivel mundial, la actividad comercial es la quinta a nivel mundial y el tercer lugar entre redes no EVM (solo detrás de Bitcoin y Solana), lo que muestra una fuerte participación de los usuarios y capacidad de acumulación de activos.
1. Una reacción en cadena provocada por un ataque.
El 22 de mayo de 2025, el principal protocolo AMM Cetus, desplegado en la red SUI, fue objeto de un ataque de hackers. Los atacantes aprovecharon una vulnerabilidad lógica relacionada con un "problema de desbordamiento de enteros" para llevar a cabo un control preciso, lo que resultó en pérdidas de más de 200 millones de dólares en activos. Este evento no solo es uno de los accidentes de seguridad más grandes en el ámbito DeFi hasta la fecha de este año, sino que también se ha convertido en el ataque de hackers más devastador desde el lanzamiento de la mainnet de SUI.
Según los datos de DefiLlama, el TVL total de SUI en la cadena cayó más de 330 millones de dólares el día del ataque, y el monto bloqueado del protocolo Cetus se evaporó instantáneamente en un 84%, cayendo a 38 millones de dólares. Como consecuencia, varios tokens populares en SUI (incluyendo Lofi, Sudeng, Squirtle, entre otros) cayeron entre un 76% y un 97% en solo una hora, lo que generó una amplia preocupación en el mercado sobre la seguridad de SUI y la estabilidad de su ecosistema.
Pero después de esta ola de choque, el ecosistema SUI ha mostrado una gran resiliencia y capacidad de recuperación. A pesar de que el evento de Cetus trajo fluctuaciones en la confianza a corto plazo, los fondos en la cadena y la actividad de los usuarios no han sufrido un declive sostenido, sino que han promovido un notable aumento en la atención del ecosistema hacia la seguridad, la construcción de infraestructura y la calidad de los proyectos.
Klein Labs se centrará en las causas de este ataque, el mecanismo de consenso de nodos de SUI, la seguridad del lenguaje MOVE y el desarrollo del ecosistema de SUI, para analizar el actual ecosistema de esta cadena de bloques que aún se encuentra en una etapa temprana de desarrollo y explorar su potencial de desarrollo futuro.
2. Análisis de las causas del ataque del evento Cetus
2.1 Proceso de implementación del ataque
Según el análisis técnico del equipo de Slow Fog sobre el incidente de ataque a Cetus, los hackers aprovecharon con éxito una vulnerabilidad crítica de desbordamiento aritmético en el protocolo, utilizando préstamos relámpago, manipulación de precios precisa y defectos en el contrato, robando más de 200 millones de dólares en activos digitales en un corto período de tiempo. La ruta del ataque se puede dividir en las siguientes tres etapas:
①Iniciar un préstamo relámpago, manipular precios
Los hackers primero utilizaron un préstamo relámpago de 100 mil millones de haSUI con el deslizamiento máximo, prestando grandes cantidades de dinero para manipular los precios.
El préstamo relámpago permite a los usuarios tomar prestados y devolver fondos en una sola transacción, pagando solo una tarifa, y presenta características de alto apalancamiento, bajo riesgo y bajo costo. Los hackers aprovecharon este mecanismo para reducir el precio del mercado en un corto período de tiempo y lo controlaron de manera precisa dentro de un rango muy estrecho.
Luego, el atacante se prepara para crear una posición de liquidez extremadamente estrecha, estableciendo el rango de precios con precisión entre la oferta más baja de 300,000 y el precio más alto de 300,200, con un ancho de precio de solo 1.00496621%.
A través de la forma anterior, los hackers utilizaron una cantidad suficiente de tokens y una gran liquidez para manipular con éxito el precio de haSUI. Luego, también manipularon varios tokens sin valor real.
②Agregar liquidez
El atacante crea posiciones de liquidez estrechas, afirma que añade liquidez, pero debido a una vulnerabilidad en la función checked_shlw, finalmente solo recibe 1 token.
Esencialmente se debe a dos razones:
Configuración de máscara demasiado amplia: equivale a un límite de adición de liquidez extremadamente grande, lo que hace que la verificación de la entrada del usuario en el contrato sea inútil. Los hackers establecen parámetros anómalos, construyendo entradas que siempre son menores que este límite, eludiendo así la detección de desbordamiento.
Desbordamiento de datos truncado: Al realizar la operación de desplazamiento n << 64 sobre el valor numérico n, se produjo un truncamiento de datos debido a que el desplazamiento excedió el ancho de bit efectivo del tipo de datos uint256 (256 bits). La parte de desbordamiento de bits altos se descartó automáticamente, lo que llevó a que el resultado de la operación estuviera muy por debajo de lo esperado, lo que hizo que el sistema subestimara la cantidad de haSUI necesaria para el intercambio. El resultado final del cálculo fue aproximadamente menor a 1, pero como se redondeó hacia arriba, al final resultó igual a 1, es decir, el hacker solo necesitaba agregar 1 token para poder intercambiar una gran liquidez.
③ Retirar liquidez
Realizar el reembolso del préstamo relámpago, conservando enormes ganancias. Finalmente, retirar un valor total de cientos de millones de dólares en activos de tokens de múltiples fondos de liquidez.
La situación de pérdida de fondos es grave, el ataque ha llevado al robo de los siguientes activos:
12.9 millones de SUI (aproximadamente 54 millones de dólares)
6000 millones de dólares USDC
490万美元 Haedal Staked SUI
1950万美元 TOILET
Otros tokens como HIPPO y LOFI cayeron un 75--80%, la liquidez se ha agotado.
2.2 Causas y características de la vulnerabilidad
La vulnerabilidad de Cetus tiene tres características:
Costo de reparación extremadamente bajo: por un lado, la causa fundamental del incidente de Cetus es un descuido en la biblioteca matemática de Cetus, y no un error en el mecanismo de precios del protocolo ni un error en la arquitectura subyacente. Por otro lado, la vulnerabilidad se limita únicamente a Cetus y no tiene relación con el código de SUI. La raíz de la vulnerabilidad se encuentra en una condición de límite; solo se necesitan modificar dos líneas de código para eliminar completamente el riesgo; una vez completada la reparación, se puede desplegar inmediatamente en la red principal para asegurar que la lógica del contrato posterior esté completa y eliminar dicha vulnerabilidad.
Alta ocultación: el contrato ha estado funcionando de manera estable y sin fallos durante dos años, el Cetus Protocol ha realizado múltiples auditorías, pero no se han encontrado vulnerabilidades, siendo la principal razón que la biblioteca Integer_Mate utilizada para cálculos matemáticos no fue incluida en el alcance de la auditoría.
Los hackers utilizan valores extremos para construir con precisión intervalos de transacción, creando escenarios extremadamente raros con alta liquidez que desencadenan una lógica anómala, lo que indica que este tipo de problemas son difíciles de detectar mediante pruebas comunes. Este tipo de problemas a menudo se encuentra en la zona ciega de la visión de las personas, por lo que permanecen ocultos durante mucho tiempo antes de ser descubiertos.
No es un problema exclusivo de Move:
Move es superior a varios lenguajes de contratos inteligentes en términos de seguridad de recursos y verificación de tipos, con detección nativa de problemas de desbordamiento de enteros en situaciones comunes. Este desbordamiento ocurrió porque al agregar liquidez se utilizó un valor incorrecto para la verificación del límite superior al calcular la cantidad de tokens requeridos, y se usó un desplazamiento en lugar de la multiplicación convencional. Si se utilizan operaciones aritméticas convencionales de suma, resta, multiplicación y división en Move, se revisará automáticamente la situación de desbordamiento, evitando problemas de truncamiento de bits altos.
Vulnerabilidades similares también han aparecido en otros lenguajes (como Solidity, Rust), e incluso son más fáciles de explotar debido a su falta de protección contra el desbordamiento de enteros; antes de la actualización de la versión de Solidity, la verificación de desbordamiento era muy débil. Históricamente, ha habido desbordamientos de suma, desbordamientos de resta, desbordamientos de multiplicación, etc., siendo la causa directa que el resultado de la operación excedió el rango. Por ejemplo, las vulnerabilidades en los contratos inteligentes BEC y SMT del lenguaje Solidity, lograron el ataque mediante parámetros cuidadosamente construidos que eludieron las declaraciones de verificación en el contrato, logrando transferencias excesivas.
3. Mecanismo de consenso de SUI
3.1 Introducción al mecanismo de consenso de SUI
Resumen:
SUI adopta el marco de Prueba de Participación Delegada (DeleGated Proof of Stake, abreviado DPoS)). Aunque el mecanismo DPoS puede aumentar el rendimiento de las transacciones, no puede proporcionar un alto grado de descentralización como lo hace PoW (Prueba de Trabajo). Por lo tanto, el grado de descentralización de SUI es relativamente bajo, y el umbral de gobernanza es relativamente alto, lo que dificulta que los usuarios comunes influyan directamente en la gobernanza de la red.
Número promedio de validadores: 106
Promedio del ciclo Epoch: 24 horas
mecanismo de proceso:
Delegación de derechos: Los usuarios comunes no necesitan ejecutar nodos por sí mismos, solo tienen que apostar SUI y delegarlo a validadores candidatos para poder participar en la garantía de seguridad de la red y la distribución de recompensas. Este mecanismo puede reducir la barrera de entrada para los usuarios comunes, permitiéndoles participar en el consenso de la red a través de la "contratación" de validadores de confianza. Esta también es una gran ventaja del DPoS en comparación con el PoS tradicional.
Representa el ciclo de generación de bloques: un pequeño número de validadores seleccionados generan bloques en un orden fijo o aleatorio, lo que mejora la velocidad de confirmación y aumenta el TPS.
Elección dinámica: Al final de cada ciclo de conteo de votos, se realiza una rotación dinámica según el peso del voto, reelectando el conjunto de Validadores para garantizar la vitalidad de los nodos, la consistencia de intereses y la descentralización.
Ventajas de DPoS:
Alta eficiencia: Debido a que el número de nodos de generación de bloques es controlable, la red puede completar la confirmación en milisegundos, satisfaciendo la alta demanda de TPS.
Bajo costo: Menos nodos participan en el consenso, lo que reduce significativamente el ancho de banda de red y los recursos computacionales necesarios para la sincronización de información y la agregación de firmas. Por lo tanto, los costos de hardware y operación disminuyen, los requisitos de potencia de cálculo disminuyen y los costos son más bajos. Esto resulta en tarifas de usuario más bajas.
Alta seguridad: el mecanismo de staking y delegación amplifica el costo y riesgo de los ataques; junto con el mecanismo de confiscación en cadena, se inhiben efectivamente los comportamientos maliciosos.
Al mismo tiempo, en el mecanismo de consenso de SUI, se utiliza un algoritmo basado en BFT (tolerancia a fallos bizantinos), que requiere que más de dos tercios de los votos de los validadores lleguen a un consenso para confirmar la transacción. Este mecanismo asegura que, incluso si unos pocos nodos actúan maliciosamente, la red puede mantener una operación segura y eficiente. Cualquier actualización o decisión importante también requiere más de dos tercios de los votos para ser implementada.
En esencia, DPoS es un compromiso del triángulo imposible, que realiza un equilibrio entre la descentralización y la eficiencia. DPoS, en el triángulo "imposible" de seguridad-descentralización-escalabilidad, elige reducir la cantidad de nodos activos de producción de bloques a cambio de un mayor rendimiento, renunciando a un cierto grado de descentralización total en comparación con el PoS puro o PoW, pero mejorando significativamente el rendimiento de la red y la velocidad de las transacciones.
Reflexiones y análisis del potencial de desarrollo tras la crisis de seguridad del ecosistema SUI
Creencia firme después de la crisis de seguridad: ¿por qué SUI todavía tiene potencial de crecimiento a largo plazo?
TL;DR
El ataque se basa fundamentalmente en la falta de verificación de límites en las funciones aritméticas del protocolo Cetus------una vulnerabilidad lógica causada por una máscara demasiado amplia y un desbordamiento de desplazamiento, que no está relacionada con el modelo de seguridad de recursos de la cadena SUI o del lenguaje Move. La vulnerabilidad se puede corregir con "una línea de verificación de límites" y no afecta la seguridad central de todo el ecosistema.
Aunque SUI presenta una ligera tendencia hacia la centralización al adoptar funciones como rondas de validadores DPoS y congelación de listas negras, esto fue precisamente útil en la respuesta al evento CETUS: los validadores sincronizaron rápidamente las direcciones maliciosas a la Deny List y rechazaron el empaquetado de transacciones relacionadas, logrando un congelamiento instantáneo de fondos por más de 160 millones de dólares. Esto es esencialmente una forma activa de "keynesianismo en cadena", donde el control macroeconómico efectivo tiene un efecto positivo en el sistema económico.
Matemáticas y verificación de límites: Introducir afirmaciones de límites superior e inferior para todas las operaciones aritméticas clave (como desplazamientos, multiplicación y división), y realizar fuzzing de valores extremos y verificación formal. Además, se necesita mejorar la auditoría y la supervisión: además de la auditoría de código general, se debe añadir un equipo de auditoría matemática profesional y detección en tiempo real de comportamientos de transacciones en cadena, para captar tempranamente divisiones anómalas o grandes préstamos relámpago;
En el evento de Cetus, SUI colaboró de manera eficiente con el equipo del proyecto, logrando congelar más de 160 millones de dólares en fondos y promoviendo un plan de reembolso del 100%, lo que demuestra una fuerte capacidad de respuesta en la cadena y un sentido de responsabilidad ecológica. La Fundación SUI también añadió 10 millones de dólares en fondos para auditoría, reforzando así la línea de seguridad. En el futuro, se pueden impulsar mecanismos como un sistema de seguimiento en la cadena, herramientas de seguridad construidas por la comunidad, y seguros descentralizados, para perfeccionar el sistema de garantía de fondos.
SUI logró rápidamente una transición de "nueva cadena" a "ecosistema fuerte" en menos de dos años, construyendo un mapa ecológico diversificado que abarca múltiples pistas como stablecoins, DEX, infraestructura, DePIN y juegos. La escala total de stablecoins superó los 1,000 millones de dólares, proporcionando una sólida base de liquidez para el módulo DeFi; el TVL ocupa el octavo lugar a nivel mundial, la actividad comercial es la quinta a nivel mundial y el tercer lugar entre redes no EVM (solo detrás de Bitcoin y Solana), lo que muestra una fuerte participación de los usuarios y capacidad de acumulación de activos.
1. Una reacción en cadena provocada por un ataque.
El 22 de mayo de 2025, el principal protocolo AMM Cetus, desplegado en la red SUI, fue objeto de un ataque de hackers. Los atacantes aprovecharon una vulnerabilidad lógica relacionada con un "problema de desbordamiento de enteros" para llevar a cabo un control preciso, lo que resultó en pérdidas de más de 200 millones de dólares en activos. Este evento no solo es uno de los accidentes de seguridad más grandes en el ámbito DeFi hasta la fecha de este año, sino que también se ha convertido en el ataque de hackers más devastador desde el lanzamiento de la mainnet de SUI.
Según los datos de DefiLlama, el TVL total de SUI en la cadena cayó más de 330 millones de dólares el día del ataque, y el monto bloqueado del protocolo Cetus se evaporó instantáneamente en un 84%, cayendo a 38 millones de dólares. Como consecuencia, varios tokens populares en SUI (incluyendo Lofi, Sudeng, Squirtle, entre otros) cayeron entre un 76% y un 97% en solo una hora, lo que generó una amplia preocupación en el mercado sobre la seguridad de SUI y la estabilidad de su ecosistema.
Pero después de esta ola de choque, el ecosistema SUI ha mostrado una gran resiliencia y capacidad de recuperación. A pesar de que el evento de Cetus trajo fluctuaciones en la confianza a corto plazo, los fondos en la cadena y la actividad de los usuarios no han sufrido un declive sostenido, sino que han promovido un notable aumento en la atención del ecosistema hacia la seguridad, la construcción de infraestructura y la calidad de los proyectos.
Klein Labs se centrará en las causas de este ataque, el mecanismo de consenso de nodos de SUI, la seguridad del lenguaje MOVE y el desarrollo del ecosistema de SUI, para analizar el actual ecosistema de esta cadena de bloques que aún se encuentra en una etapa temprana de desarrollo y explorar su potencial de desarrollo futuro.
2. Análisis de las causas del ataque del evento Cetus
2.1 Proceso de implementación del ataque
Según el análisis técnico del equipo de Slow Fog sobre el incidente de ataque a Cetus, los hackers aprovecharon con éxito una vulnerabilidad crítica de desbordamiento aritmético en el protocolo, utilizando préstamos relámpago, manipulación de precios precisa y defectos en el contrato, robando más de 200 millones de dólares en activos digitales en un corto período de tiempo. La ruta del ataque se puede dividir en las siguientes tres etapas:
①Iniciar un préstamo relámpago, manipular precios
Los hackers primero utilizaron un préstamo relámpago de 100 mil millones de haSUI con el deslizamiento máximo, prestando grandes cantidades de dinero para manipular los precios.
El préstamo relámpago permite a los usuarios tomar prestados y devolver fondos en una sola transacción, pagando solo una tarifa, y presenta características de alto apalancamiento, bajo riesgo y bajo costo. Los hackers aprovecharon este mecanismo para reducir el precio del mercado en un corto período de tiempo y lo controlaron de manera precisa dentro de un rango muy estrecho.
Luego, el atacante se prepara para crear una posición de liquidez extremadamente estrecha, estableciendo el rango de precios con precisión entre la oferta más baja de 300,000 y el precio más alto de 300,200, con un ancho de precio de solo 1.00496621%.
A través de la forma anterior, los hackers utilizaron una cantidad suficiente de tokens y una gran liquidez para manipular con éxito el precio de haSUI. Luego, también manipularon varios tokens sin valor real.
②Agregar liquidez
El atacante crea posiciones de liquidez estrechas, afirma que añade liquidez, pero debido a una vulnerabilidad en la función checked_shlw, finalmente solo recibe 1 token.
Esencialmente se debe a dos razones:
Configuración de máscara demasiado amplia: equivale a un límite de adición de liquidez extremadamente grande, lo que hace que la verificación de la entrada del usuario en el contrato sea inútil. Los hackers establecen parámetros anómalos, construyendo entradas que siempre son menores que este límite, eludiendo así la detección de desbordamiento.
Desbordamiento de datos truncado: Al realizar la operación de desplazamiento n << 64 sobre el valor numérico n, se produjo un truncamiento de datos debido a que el desplazamiento excedió el ancho de bit efectivo del tipo de datos uint256 (256 bits). La parte de desbordamiento de bits altos se descartó automáticamente, lo que llevó a que el resultado de la operación estuviera muy por debajo de lo esperado, lo que hizo que el sistema subestimara la cantidad de haSUI necesaria para el intercambio. El resultado final del cálculo fue aproximadamente menor a 1, pero como se redondeó hacia arriba, al final resultó igual a 1, es decir, el hacker solo necesitaba agregar 1 token para poder intercambiar una gran liquidez.
③ Retirar liquidez
Realizar el reembolso del préstamo relámpago, conservando enormes ganancias. Finalmente, retirar un valor total de cientos de millones de dólares en activos de tokens de múltiples fondos de liquidez.
La situación de pérdida de fondos es grave, el ataque ha llevado al robo de los siguientes activos:
12.9 millones de SUI (aproximadamente 54 millones de dólares)
6000 millones de dólares USDC
490万美元 Haedal Staked SUI
1950万美元 TOILET
Otros tokens como HIPPO y LOFI cayeron un 75--80%, la liquidez se ha agotado.
2.2 Causas y características de la vulnerabilidad
La vulnerabilidad de Cetus tiene tres características:
Costo de reparación extremadamente bajo: por un lado, la causa fundamental del incidente de Cetus es un descuido en la biblioteca matemática de Cetus, y no un error en el mecanismo de precios del protocolo ni un error en la arquitectura subyacente. Por otro lado, la vulnerabilidad se limita únicamente a Cetus y no tiene relación con el código de SUI. La raíz de la vulnerabilidad se encuentra en una condición de límite; solo se necesitan modificar dos líneas de código para eliminar completamente el riesgo; una vez completada la reparación, se puede desplegar inmediatamente en la red principal para asegurar que la lógica del contrato posterior esté completa y eliminar dicha vulnerabilidad.
Alta ocultación: el contrato ha estado funcionando de manera estable y sin fallos durante dos años, el Cetus Protocol ha realizado múltiples auditorías, pero no se han encontrado vulnerabilidades, siendo la principal razón que la biblioteca Integer_Mate utilizada para cálculos matemáticos no fue incluida en el alcance de la auditoría.
Los hackers utilizan valores extremos para construir con precisión intervalos de transacción, creando escenarios extremadamente raros con alta liquidez que desencadenan una lógica anómala, lo que indica que este tipo de problemas son difíciles de detectar mediante pruebas comunes. Este tipo de problemas a menudo se encuentra en la zona ciega de la visión de las personas, por lo que permanecen ocultos durante mucho tiempo antes de ser descubiertos.
Move es superior a varios lenguajes de contratos inteligentes en términos de seguridad de recursos y verificación de tipos, con detección nativa de problemas de desbordamiento de enteros en situaciones comunes. Este desbordamiento ocurrió porque al agregar liquidez se utilizó un valor incorrecto para la verificación del límite superior al calcular la cantidad de tokens requeridos, y se usó un desplazamiento en lugar de la multiplicación convencional. Si se utilizan operaciones aritméticas convencionales de suma, resta, multiplicación y división en Move, se revisará automáticamente la situación de desbordamiento, evitando problemas de truncamiento de bits altos.
Vulnerabilidades similares también han aparecido en otros lenguajes (como Solidity, Rust), e incluso son más fáciles de explotar debido a su falta de protección contra el desbordamiento de enteros; antes de la actualización de la versión de Solidity, la verificación de desbordamiento era muy débil. Históricamente, ha habido desbordamientos de suma, desbordamientos de resta, desbordamientos de multiplicación, etc., siendo la causa directa que el resultado de la operación excedió el rango. Por ejemplo, las vulnerabilidades en los contratos inteligentes BEC y SMT del lenguaje Solidity, lograron el ataque mediante parámetros cuidadosamente construidos que eludieron las declaraciones de verificación en el contrato, logrando transferencias excesivas.
3. Mecanismo de consenso de SUI
3.1 Introducción al mecanismo de consenso de SUI
Resumen:
SUI adopta el marco de Prueba de Participación Delegada (DeleGated Proof of Stake, abreviado DPoS)). Aunque el mecanismo DPoS puede aumentar el rendimiento de las transacciones, no puede proporcionar un alto grado de descentralización como lo hace PoW (Prueba de Trabajo). Por lo tanto, el grado de descentralización de SUI es relativamente bajo, y el umbral de gobernanza es relativamente alto, lo que dificulta que los usuarios comunes influyan directamente en la gobernanza de la red.
Número promedio de validadores: 106
Promedio del ciclo Epoch: 24 horas
mecanismo de proceso:
Delegación de derechos: Los usuarios comunes no necesitan ejecutar nodos por sí mismos, solo tienen que apostar SUI y delegarlo a validadores candidatos para poder participar en la garantía de seguridad de la red y la distribución de recompensas. Este mecanismo puede reducir la barrera de entrada para los usuarios comunes, permitiéndoles participar en el consenso de la red a través de la "contratación" de validadores de confianza. Esta también es una gran ventaja del DPoS en comparación con el PoS tradicional.
Representa el ciclo de generación de bloques: un pequeño número de validadores seleccionados generan bloques en un orden fijo o aleatorio, lo que mejora la velocidad de confirmación y aumenta el TPS.
Elección dinámica: Al final de cada ciclo de conteo de votos, se realiza una rotación dinámica según el peso del voto, reelectando el conjunto de Validadores para garantizar la vitalidad de los nodos, la consistencia de intereses y la descentralización.
Ventajas de DPoS:
Alta eficiencia: Debido a que el número de nodos de generación de bloques es controlable, la red puede completar la confirmación en milisegundos, satisfaciendo la alta demanda de TPS.
Bajo costo: Menos nodos participan en el consenso, lo que reduce significativamente el ancho de banda de red y los recursos computacionales necesarios para la sincronización de información y la agregación de firmas. Por lo tanto, los costos de hardware y operación disminuyen, los requisitos de potencia de cálculo disminuyen y los costos son más bajos. Esto resulta en tarifas de usuario más bajas.
Alta seguridad: el mecanismo de staking y delegación amplifica el costo y riesgo de los ataques; junto con el mecanismo de confiscación en cadena, se inhiben efectivamente los comportamientos maliciosos.
Al mismo tiempo, en el mecanismo de consenso de SUI, se utiliza un algoritmo basado en BFT (tolerancia a fallos bizantinos), que requiere que más de dos tercios de los votos de los validadores lleguen a un consenso para confirmar la transacción. Este mecanismo asegura que, incluso si unos pocos nodos actúan maliciosamente, la red puede mantener una operación segura y eficiente. Cualquier actualización o decisión importante también requiere más de dos tercios de los votos para ser implementada.
En esencia, DPoS es un compromiso del triángulo imposible, que realiza un equilibrio entre la descentralización y la eficiencia. DPoS, en el triángulo "imposible" de seguridad-descentralización-escalabilidad, elige reducir la cantidad de nodos activos de producción de bloques a cambio de un mayor rendimiento, renunciando a un cierto grado de descentralización total en comparación con el PoS puro o PoW, pero mejorando significativamente el rendimiento de la red y la velocidad de las transacciones.
![Fe de firmeza después de la crisis de seguridad: por qué