S'appuyer sur Sui est passionnant : son modèle centré sur l'objet ouvre la voie à de nouveaux modèles de conception et à un parallélisme plus rapide. Mais ⚠️ nouveaux modèles = nouvelles erreurs. Les bugs de propriété, les fuites d'entiercement ou la négligence des clés d'administration peuvent entraîner des pertes coûteuses.

Ce guide vous propose une liste de contrôle de sécurité étape par étape 📝 ainsi qu'un exemple pratique de marketplace pour vous montrer comment éviter les pièges les plus courants.

✅ 1) La liste de contrôle de sécurité Sui

1. 🔑 Le moindre privilège • Ne vous fiez pas à une seule « clé d'administration » globale. • Utilisez des objets de capacité pour obtenir de l'autorité. • Protégez les pouvoirs administratifs critiques grâce à une gouvernance multisignature ou en chaîne.
2. ⚖️ Transferts séquestres atomiques • Sécurisez toujours les actifs dans des objets de liste dédiés. • Utilisez des blocs de transactions programmables (PTB) pour les échanges atomiques → évitez les dépenses anticipées et les doubles dépenses.
3. 🛡️ Validez toutes les entrées • Dans Move, vérifiez les longueurs, les limites et les contraintes des vecteurs. • Validez la désérialisation et rejetez les objets mal formés. • Ne présumez jamais la sécurité des entrées simplement parce que l'objet existe sur la chaîne.
4. 🧪 Testez et fuzz de manière agressive • Rédigez des tests négatifs : entrées non valides, mises à jour simultanées, épuisement des gaz. • Ajoutez du fuzzing pour les flux de transactions inattendus. • Automatisez dans CI pour détecter les régressions à un stade précoce.
5. 🔐 Gestion des clés • Stockez les clés d'administration dans des portefeuilles matériels. • Utilisez le multisig pour les actions de gouvernance. • Faites pivoter les touches lorsque les membres de l'équipe partent.
6. 👀 Audits et mesures incitatives • Faites auditer les modules Move critiques. • Lancez un programme Bug Bounty à des fins de test communautaire. • N'oubliez pas : les yeux extérieurs détectent ce qui vous manque.

🏪 2) Exemple pratique : un marché sûr

Voici comment appliquer la liste de contrôle dans une DApp de la place de marché : • Sécurisez les NFT en toute sécurité : Le vendeur déplace le NFT vers un objet d'annonce. Le contrat de la place de marché ne peut pas accepter de fonds sans l'approbation du vendeur. • Gérez correctement les redevances : Calculez les redevances dans le PTB, en veillant à une répartition correcte des frais (attention aux arrondis !). • Réentrée ? Pas ici : Le modèle de ressources de Move empêche la copie/la réentrée dès sa conception. Testez tout de même tous les flux pour vous assurer qu'il n'y a aucune faille logique.

📚 Sources et lectures complémentaires • Sui Docs : concepts et transactions • Livre blanc Sui (modèle centré sur l'objet) • Documentation sur le SDK TypeScript de Mysten Labs • Carnet de films • Sur GitHub Repo

✨ À retenir : sur Sui, la sécurité est moins une question de bogues de réentrée de type EVM qu'une question de propriété, d'autorité et d'atomicité. Si vous suivez la liste de contrôle, vous réduirez considérablement votre surface d'attaque tout en protégeant les actifs des utilisateurs.