Будівництво на Sui захоплююче - його об'єктно-орієнтована модель відкриває нові моделі дизайну та швидший паралелізм. Але ⚠️ нові моделі = нові помилки. Помилки власності, витоки ескроу або необережні ключі адміністратора можуть спричинити дорогі втрати.

Цей посібник містить покроковий контрольний список безпеки 📝, а також практичний приклад ринку, щоб показати, як уникнути найпоширеніших підводних каменів.

✅ 1) Контрольний список безпеки Sui

1. 🔑 Найменший привілей • Не покладайтеся на один глобальний «ключ адміністратора». • Використовуйте об'єкти можливостей для авторитету. • Охороняйте критичні повноваження адміністратора за допомогою багатофункціонального або мережевого управління.
2. ⚖️ Атомні перекази ескроу • Завжди ескроу-активи всередині виділених об'єктів лістингу. • Використовуйте програмовані блоки транзакцій (PTB) для атомних свопів → запобігає фронтальній та подвійній витраті.
3. 🛡️ Перевірте всі входи • У розділі «Переміщення» перевірте довжини вектора, межі та обмеження. • Перевірте десеріалізацію та відхиліть неправильно сформовані об'єкти. • Ніколи не припускайте безпеку введення лише тому, що об'єкт існує в ланцюжку.
4. 🧪 Агресивно тестуйте та розпушуйте • Напишіть негативні тести: недійсні входи, одночасні оновлення, виснаження газу. • Додайте нечіткість для несподіваних потоків транзакцій. • Автоматизація в CI, щоб рано вловити регресії.
5. 🔐 Управління ключами • Зберігайте ключі адміністратора в апаратних гаманцях. • Використовуйте мультиsig для дій управління. • Повертайте клавіші, коли члени команди виїжджають.
6. 👀 Аудити та стимули • Отримайте перевірку критичних модулів Move. • Запустіть програму винагород за помилки для тестування спільноти. • Пам'ятайте: зовнішні очі ловлять те, що вам не вистачає.

🏪 2) Приклад на практиці: безпечний ринок

Ось як застосувати контрольний список у Marketplace DApp: • Безпечне зберігання NFT: Продавець переміщує NFT в об'єкт лістингу. Торговий контракт не може приймати кошти без схвалення продавця. • Правильно обробляти роялті: Обчисліть роялті всередині PTB, забезпечуючи правильний розподіл комісії (стежте за округленням!). • Відновлення? Не тут: Модель ресурсів Move запобігає копіювання/повторному входу за дизайном. Тим не менш, перевірте всі потоки, щоб переконатися, що немає логічних лазівок.

📚 Джерела та подальше читання • Документи Sui: концепції та транзакції • Інформаційна довідка Sui (об'єктно-центрична модель) • Документи SDK TypeScript Mysten Labs • Перемістити книгу • У ��ховищі GitHub

✨ Винос: На Sui безпека - це менше помилки відновлення у стилі EVM, а більше про власність, авторитет та атомність. Якщо ви дотримуєтесь контрольного списку, ви значно зменшите поверхню атаки, зберігаючи ресурси користувачів у безпеці.