Aus Sicherheitsgründen bevorzuge ich es immer noch, nicht nur das Tool zu verwenden, sondern auch ein Audit von einem Drittanbieter durchzuführen.

Egal, ob Sie eine DeFi-App, ein Blockchain-Spiel oder ein anderes Onchain-Projekt auf Sui entwickeln, eine Reihe von Wirtschaftsprüfungsunternehmen unterstützen das Ökosystem bereits aktiv und bieten Sicherheitsdienste in verschiedenen Entwicklungsphasen an: -Asymptotisch— Ich habe den Sui Prover entwickelt, ein formelles Verifizierungstool, das speziell für die Validierung intelligenter Sui-Verträge entwickelt wurde. -Blaize.Security— Bietet umfassende Sicherheitsdienste, die auf SUI ausgerichtet sind, einschließlich manueller Audits, CI/CD-Pipeline-Schutz, Live-Überwachung und Vorfallanalyse. -Certora— Kombiniert traditionelle manuelle Prüfungen mit formaler Überprüfung, um strenge hybride Sicherheitsbewertungen zu erstellen. -MoveBit— Eines der ersten Unternehmen, das die formelle Überprüfung bei Sui-Audits eingeführt hat und gleichzeitig mit Entwickler-Tools und CTF-Veranstaltungen dazu beigetragen hat. -OtterSec— Bekannt für gründliche manuelle Audits und die enge Zusammenarbeit mit den Teams während des gesamten Audit-Lebenszyklus. -Zellic— Bietet fundiertes Fachwissen in der Move-Sprache und arbeitet aktiv an mehreren Projekten innerhalb des Sui-Ökosystems mit.

Darüber hinaus können Sui-Entwickler dieMove Registry (MVR) nutzen — ein integriertes Paketverwaltungssystem, mit dem Teams wichtige Informationen wie Quellcode, Dokumentation und Prüfergebnisse direkt an ihre bereitgestellten Smart Contracts anhängen können.

####1. Unverzichtbare Audit-Toolchain

#####Statische Analyse | Tool | Zweck | Hauptmerkmale | | ---------------| --------------|
|** Move Prover** | Formale Verifikation | - Mathematischer Invariantennachweis -
Erkennt arithmetische Überläufe - Stellt die Richtigkeit der Zugriffskontrolle sicher |
|** Move Analyzer** | IDE-Integration | - Fehlererkennung in Echtzeit -
Typprüfung - Modulübergreifende Referenzvalidierung | sui move verify
sui client verify-source|** Sui CLI Security Checks** | Integrierte Audits | |

Beispiel für die Verwendung von Prover:

spec balance_never_negative {  
    invariant balance >= 0;  
}  

#####Dynamische Analyse | Tool | Typ | Umfang | | ------------| ----------| |** Sui Test Framework** | Komponententests | - 100% Pfadabdeckung
- Scheinobjekte/Uhren |
|** Sui Fuzzer** | Eigenschaftstests | - Generiert Randfälle - Findet Panik in der Arithmetik |

Beispiel für einen Fuzz-Test:

#[test_only]  
fun fuzz_transfer(amount: u64) {  
    let balance = 1000;  
    transfer(&mut balance, amount); // Auto-tests 0, MAX, etc.  
}  

---

####2. Sui-spezifische Scanner

#####Lebenszyklus-Checker von Objekt -** Sui Storage Rebate Analyzer** | Erkennt:

• Unbegrenztes Objektwachstum drop- Fehlende Fähigkeiten
• Verwaiste UIDs

#####Audits der Zugriffskontroll

# Find all entry functions without signer checks  
grep -r "public entry" ./sources | grep -v "&signer"  

#####Gemeinsam genutzte Objektlinter Benutzerdefinierte Regeln für:

• Fehlende Epochenprüfungen
• Gleichzeitige Änderungsrisiken
• Veraltete Referenzen auf gemeinsam genutzte Objekte

---

####3. Techniken zur manuellen Überprüfung

#####Wichtige Prüfungen 1.Funktionsmuster:

  // Verify admin caps are properly guarded  
  assert!(address_of(signer) == admin_cap.admin, EUnauthorized);  

2.Dynamische Feldsicherheit:

  // Ensure no unvalidated user input in dynamic fields  
  dynamic_field::add(&mut obj, user_input, value); // RISKY  

#####Gas-Hotspots -Speicherbetrieb:

 // Prefer Table over vector for large collections  
 let bad: vector<u64>; // Expensive deletions  
 let good: Table<ID, u64>; // O(1) ops  

#####Einhaltung des SUI Frameworks

• Gegenprüfung mit:
• sui: :coin
• sui: :Uhr

---

####4. Integrierter Audit-Workflow

Schritt 1: Statischer Scan

sui move build --lint && \  
sui move prove --path ./sources  

Schritt 2: Dynamisches Testen

sui move test --coverage && \  
move-fuzzer ./sources -iterations 1000  

Schritt 3: Manuelle Überprüfung

1. Prüfen Sie alle entryFunktionen:

• Unterzeichner anwesend?
• Validierung der Eingabe?

2. Gemeinsam genutzte Objekte prüfen:

• Überprüfung der Epoche?
• Schließmechanismen?

---

####5. Allgemeine Ergebnisse nach Tool

| Tool | Typische Fänge | ------| | -----------------|
|Move Prover| - Integer-Überläufe - Unerreichbarer Code |
|Sui CLI| - Ungültiger Objektbesitz - Fehlende Fähigkeiten |
|Fuzzer| - Panik bei Randwerten - Gasbomben |
|Handbuch| - Fehler in der Geschäftslogik - Marketplace-Kompatibilität |

---

####6. Tipps für Profi

✅Kontinuierliche Prüfung

# GitHub Action example  
- uses: MoveAnalyst/move-security-check@v1  
  with:  
    path: ./sources  

✅Mit bekannten Sicherheitslücken vergleichen

• Sui Audit-Berichte
• Move Security Hall of Fame

✅Verwende mehrere RPCs Testen Sie gegen:

• Localnet
• Testnetz
• Verschiedene Fullnode-Anbieter

---