في 16 أكتوبر، تعرض بروتوكول DeFi Typus Finance الذي يقع مقره في سوي ومقره في سوي لخرق أمني، مما أدى إلى خسائر تقدر بحوالي $3.44 مليون دولار. وقد اعترف المشروع رسميًا بالحادث وأعرب عن امتنانه لشركة SlowMist لمساعدتها في التحقيق. تحليل تسلسل الهجوم: نشأ الاستغلال من ثغرة خطيرة في آلية تحديث أوراكل. تلاعب المهاجمون ببيانات الأسعار من خلال دالة update_v2 في عقد typus_oracle/sources/oracle.move. كانت الثغرة الأمنية موجودة في منطق التحقق من صحة الأذونات. فبينما احتوى كائن UpdateAuthority على قائمة بيضاء للصلاحيات، فشل العقد في التحقق من صحة نتيجة الدالة vector::يحتوي على استدعاء الدالة. سمح ذلك للمستخدمين غير المصرح لهم بتعديل أسعار أوراكل على الرغم من آلية التحكم في الوصول المقصودة. خطوات الهجوم الرئيسية: 1. التلاعب بالأسعار: قام المهاجم باستدعاء update_v2 لتعيين أسعار مصطنعة لرموز أوراكل، بما في ذلك تعيين سعر أوراكل إلى 651،548،270 وآخر إلى 1. 2. تنفيذ المراجحة: استغل المهاجم الأسعار المتلاعب بها من خلال دالة المبادلة في typus_perp/sources/tlp/lp_pool.move. واستخدم مجمع التداول أسعار أوراكل بدلاً من صيغ المنتج الثابت لتحويلات التوكنات، مما مكّن المهاجم من استبدال 1 SUI مقابل 60,000,000 XBTC (حوالي 0.6 BTC). 3. الاستغلال المتكرر: نفّذ المهاجم 10 هجمات تحديث_v2 منفصلة ونقل الأصول المسروقة بسرعة من خلال جسور عبر السلسلة. تتبع الأموال: وفقًا لتحليل MistTrack، بلغ إجمالي الأصول المسروقة حوالي $3.44 مليون دولار، بما في ذلك 588,357.9 SUI، و1,604,034.7 دولار أمريكي و0.6 xBTC و32.227 suiETH. قام المهاجم بتحويل معظم الأصول إلى USDC من خلال منصات DeFi المختلفة وقام بتحويل ما يقرب من 3,430,717 USDC عبر 14 معاملة إلى عنوان Ethereum عبر CCTP الخاص بـ Circle. تم تحويل الأموال في وقت لاحق إلى 3,430,241.91 DAI من خلال Curve وتم نقلها إلى عنوان جديد حيث لا تزال هناك. توصيات أمنية: يمثل هذا الحادث هجومًا كلاسيكيًا للتلاعب بالأوراكل. كان من الممكن منع هذه الثغرة الأمنية من خلال تنفيذ بيان تأكيد بسيط للتحقق من صحة عمليات التحقق من الأذونات. خصائص التحكم في أذونات نقل Sui Move: مقارنةً بلغة Solidity، تتضمن Sui Move المزيد من عناصر التحكم في الوصول المضمنة والإلزامية. يفرض النموذج الموجه للكائنات في اللغة مع نظام النوع الخطي الملكية الحصرية، مما يمنع التعديلات غير المصرح بها. يمكن أن يؤدي التنفيذ السليم لكائنات القدرة مثل ManagerCap إلى تأمين العمليات الحساسة بشكل فعال. على الرغم من الأسس الأمنية القوية التي تتمتع بها سوي موف، فإن هذه الحالة توضح أن ممارسات الترميز الصارمة والتدقيق الأمني الشامل تظل ضرورية لمنع عمليات الاستغلال في تطوير العقود الذكية.