A veces, la amenaza más mortal se esconde en los lugares más insignificantes.

El intercambio descentralizado más grande de la cadena Sui ha pasado por un evento de seguridad que se puede calificar de desastre: un hacker logró robar 230 millones de dólares del fondo a través de un fallo en el código. El valor de esta línea de código, de una manera u otra, no puede escapar de este costo de 1.6 mil millones.

La raíz del problema es en realidad muy oculta. Los hackers, a través de parámetros de entrada cuidadosamente diseñados, provocaron una serie de reacciones en cadena: primero, hicieron que la condición n<=mask se cumpliera, haciendo que el flujo de ejecución entrara en la línea 23; luego, aseguraron que n≥2^192, de modo que al realizar la operación de desplazamiento a la izquierda n<<64, el valor total superó instantáneamente el límite de u256. El resultado fue que la función devolvió un valor completamente inesperado, permitiendo así al hacker obtener permisos para manipular activos.

Todo el proceso de ataque es asombrosamente ingenioso: no se trata de un ataque de fuerza bruta, sino de una profunda comprensión de los límites del protocolo. Los hackers parecen haber calculado cada parámetro con precisión, como si hubieran encontrado ese punto crítico letal en un juego matemático de alta precisión.

Afortunadamente, el equipo oficial ha localizado y reparado rápidamente esta vulnerabilidad. Pero la advertencia que deja este incidente sigue siendo aguda: en el campo de la blockchain, incluso el defecto de código más pequeño, multiplicado por una cantidad de fondos suficientemente grande, puede convertirse en una catástrofe financiera. Para cualquier protocolo que funcione en la cadena, la importancia de la auditoría de código ha superado el ámbito de las "mejores prácticas": es el requisito previo para la supervivencia.