Conseil de sécurité Sui Move : ne laissez pas tomber la patate chaude

Question

Dans Sui, chaque actif est un objet et chaque objet est une petite machine à états.

Un modèle d'application courant est le Hot Potato : une structure sans capacité, qui doit être consommée avant la fin de la transaction ou l'interruption complète.

Les prêts flash en dépendent souvent. Un reçu est retourné à l'emprunteur et doit être renvoyé au protocole pour prouver le remboursement.

❌ Ajouter une goutte au reçu ✅ Vous venez d'introduire un vuln critique

Désormais, l'emprunteur peut laisser tomber la patate et s'en aller sans rembourser.

La capacité de largage de Move permet à quiconque de détruire l'objet, sauf si vous l'empêchez intentionnellement en omettant la capacité de largage.

Conseil de pro : auditez chaque structure de votre protocole.

🔴 Si cela représente une obligation (comme un reçu de prêt flash), supprimez Drop 🟢 S'il ne doit pas être copié, supprimez la copie 🔵 S'il ne doit pas être mondial, supprimez store

Sui Move vous permet de contrôler de bas niveau la sémantique des actifs. Abusez ne serait-ce qu'une seule capacité et l'application de la loi est interrompue.

Manipulez les objets avec soin. Ne laissez pas tomber la patate chaude

0xduckmove · Accepted Answer

If Hot Potato is a struct without abilities, why would anyone add a drop? By definition, it shouldnt have drop or any other abilities. :) Also, I think it would be better to have extra fields for Receipt, like the amount that was borrowed, and match against it rather than hardcoding 10 MIST. This would better illustrate how a Receipt could be used.

Publication

Partagez vos connaissances.

Conseil de sécurité Sui Move : ne laissez pas tomber la patate chaude

Réponses

Connaissez-vous la réponse ?

Gagne ta part de 1000 Sui