Es ist aufregend, auf Sui aufzubauen — das objektzentrierte Modell ermöglicht neue Entwurfsmuster und schnellere Parallelität. Aber ⚠️ neue Modelle = neue Fehler. Besitzfehler, undichte Treuhandkonten oder unvorsichtige Administratorschlüssel können zu kostspieligen Verlusten führen.

In diesem Leitfaden finden Sie eine schrittweise Sicherheitscheckliste 📝 sowie ein praktisches Beispiel für den Marktplatz, das zeigt, wie Sie die häufigsten Fallstricke vermeiden können.

✅ 1) Die Sui-Sicherheitscheckliste

1. 🔑 Geringste Privilegien • Verlassen Sie sich nicht auf einen einzigen globalen „Admin-Schlüssel“. • Verwenden Sie Funktionsobjekte als Autoritätsquelle. • Schützen Sie wichtige Verwaltungsbefugnisse mit Multisig- oder On-Chain-Governance.
2. ⚖️ Atomare Treuhandüberweisungen • Verwahren Sie Vermögenswerte immer innerhalb der dafür vorgesehenen Listing-Objekte. • Verwenden Sie Programmable Transaction Blocks (PTBs) für Atomic Swaps → verhindert Front-Running und doppelte Ausgaben.
3. 🛡️ Alle Eingaben validieren • Prüfen Sie unter Move die Längen, Grenzen und Beschränkungen von Vektoren. • Validieren Sie die Deserialisierung und weisen Sie falsch geformte Objekte zurück. • Gehen Sie niemals von einer Eingabesicherheit aus, nur weil das Objekt in der Kette existiert.
4. 🧪 Aggressiv testen und fuzzen • Schreiben Sie negative Tests: ungültige Eingaben, gleichzeitige Aktualisierungen, Gasüberlastung. • Fügen Sie Fuzzing für unerwartete Transaktionsabläufe hinzu. • Automatisieren Sie in CI, um Regressionen frühzeitig zu erkennen.
5. 🔐 Schlüsselverwaltung • Speichern Sie Admin-Schlüssel in Hardware-Wallets. • Verwenden Sie Multisig für Verwaltungsmaßnahmen. • Wechseln Sie die Schlüssel, wenn die Teammitglieder das Team verlassen.
6. 👀 Prüfungen und Anreize • Lassen Sie wichtige Move-Module prüfen. • Starte ein Bug-Bounty-Programm für Community-Tests. • Denke daran: Äußere Augen fangen ein, was du verpasst.

🏪 2) Beispiel aus der Praxis: Ein sicherer Marktplatz

So wenden Sie die Checkliste in einer Marketplace-DApp an: • NFTs sicher hinterlegen: Der Verkäufer verschiebt die NFT in ein Listing-Objekt. Der Marktplatzvertrag kann ohne Zustimmung des Verkäufers keine Gelder entgegennehmen. • Gehen Sie korrekt mit Tantiemen um: Berechne die Tantiemen innerhalb der PTB und achte dabei auf eine korrekte Gebührenaufteilung (achte auf die Rundung!). • Wiedereintritt? Nicht hier: Das Ressourcenmodell von Move verhindert das Kopieren/Wiederaufrufen von vornherein. Testen Sie dennoch alle Abläufe, um sicherzustellen, dass keine logischen Lücken bestehen.

📚 Quellen und weiterführende Literatur • Sui Docs: Konzepte und Transaktionen • Sui Whitepaper (objektzentriertes Modell) • TypeScript SDK-Dokumente von Mysten Labs • Buch verschieben • Auf GitHub Repo

✨ Fazit: Bei Sui geht es bei der Sicherheit weniger um Fehler beim Wiedereintritt im EVM-Stil als vielmehr um Eigenverantwortung, Autorität und Atomarität. Wenn Sie die Checkliste befolgen, reduzieren Sie Ihre Angriffsfläche drastisch und schützen gleichzeitig die Ressourcen Ihrer Benutzer.