Às vezes, a ameaça mais mortal está escondida nos lugares mais insignificantes.

A maior exchange descentralizada da cadeia Sui enfrentou um evento de segurança que pode ser considerado um desastre — hackers conseguiram roubar 230 milhões de dólares do fundo através de uma vulnerabilidade de código. O valor desse código não pode ser dissociado do custo de 1,6 bilhões.

A raiz do problema é, na verdade, muito oculta. Os hackers, através de parâmetros de entrada cuidadosamente elaborados, desencadearam uma série de reações em cadeia: primeiro, fizeram a condição n<=mask ser satisfeita, levando o fluxo de execução para a linha 23; em seguida, garantiram que n≥2^192, de modo que, ao executar a operação de deslocamento à esquerda n<<64, todo o valor ultrapassou instantaneamente o limite de u256. O resultado foi que a função produziu um valor completamente inesperado, permitindo ao hacker obter permissão para manipular ativos.

Todo o processo de ataque é tão engenhoso que deixa sem palavras — não se trata de um ataque de força bruta, mas sim de uma compreensão profunda das fronteiras do protocolo. O hacker parece ter calculado com precisão cada parâmetro, como se tivesse encontrado aquele ponto crítico fatal em um jogo matemático de alta precisão.

Felizmente, a equipe oficial conseguiu localizar e corrigir rapidamente esta vulnerabilidade. Mas o alerta deixado por este incidente continua a ser evidente: no campo da blockchain, até a menor falha de código, multiplicada por um volume de fundos suficientemente grande, pode se transformar em um desastre financeiro. Para qualquer protocolo que opera na blockchain, a importância da auditoria de código já ultrapassa o âmbito das "melhores práticas" - é a condição para a sobrevivência.