Xây dựng trên Sui thật thú vị - mô hình lấy đối tượng làm trung tâm của nó mở ra các mẫu thiết kế mới và sự song song nhanh hơn. Nhưng ⚠️ mô hình mới = sai lầm mới. Lỗi sở hữu, rò rỉ ký quỹ hoặc khóa quản trị bất cẩn có thể gây ra tổn thất tốn kém.

Hướng dẫn này cung cấp cho bạn danh sách kiểm tra bảo mật từng bước 📝 cộng với một ví dụ thực tế về thị trường để chỉ ra cách tránh những cạm bẫy phổ biến nhất.

✅ 1) Danh sách kiểm tra bảo mật Sui

1. 🔑 Đặc quyền ít nhất • Không dựa vào một “khóa quản trị viên” toàn cầu duy nhất. • Sử dụng các đối tượng khả năng cho thẩm quyền. • Bảo vệ quyền hạn quản trị quan trọng với quản trị multisig hoặc trên chuỗi.
2. ⚖️ Chuyển khoản ký quỹ nguyên tử • Luôn ký quỹ tài sản bên trong các đối tượng Danh sách chuyên dụng. • Sử dụng Khối giao dịch có thể lập trình (PTB) để hoán đổi nguyên tử → ngăn chặn việc chạy trước và chi tiêu gấp đôi.
3. 🛡️ Xác thực tất cả các đầu vào • Trong Move, kiểm tra độ dài, giới hạn và ràng buộc vectơ. • Xác thực quá trình giải mã hóa và loại bỏ các đối tượng có định dạng sai. • Không bao giờ giả định an toàn đầu vào chỉ vì đối tượng tồn tại trên chuỗi.
4. 🧪 Kiểm tra & Fuzz mạnh mẽ • Viết các bài kiểm tra âm tính: đầu vào không hợp lệ, cập nhật đồng thời, cạn kiệt khí. • Thêm mờ cho các luồng giao dịch bất ngờ. • Tự động hóa trong CI để nắm bắt hồi quy sớm.
5. 🔐 Quản lý khóa • Lưu trữ khóa quản trị trong ví phần cứng. • Sử dụng multisig cho các hành động quản trị. • Xoay phím khi các thành viên trong nhóm rời đi.
6. 👀 Kiểm toán & Ưu đãi • Kiểm toán các mô-đun Move quan trọng. • Khởi chạy chương trình tiền thưởng lỗi để thử nghiệm cộng đồng. • Hãy nhớ rằng: đôi mắt bên ngoài bắt được những gì bạn bỏ lỡ.

🏪 2) Ví dụ trong thực tế: Một thị trường an toàn

Dưới đây là cách áp dụng danh sách kiểm tra trong DApp thị trường: • NFTs ký quỹ an toàn: Người bán di chuyển NFT vào đối tượng Danh sách. Hợp đồng thị trường không thể nhận tiền mà không có sự chấp thuận của người bán. • Xử lý tiền bản quyền một cách chính xác: Tính toán tiền bản quyền bên trong PTB, đảm bảo phân chia phí chính xác (coi chừng làm tròn!). • Tái nhập? Không ở đây: Mô hình tài nguyên của Move ngăn chặn việc sao chép/tái nhập cảnh theo thiết kế. Tuy nhiên, hãy kiểm tra tất cả các luồng để đảm bảo không có sơ hở logic.

📚 Nguồn & Đọc thêm • Sui Docs: Khái niệm & Giao dịch • Sách trắng Sui (mô hình lấy đối tượng làm trung tâm) • Tài liệu SDK TypeScript của Mysten Labs • Di chuyển sách • Trên GitHub Repo

✨ Tóm lại: Trên Sui, bảo mật ít liên quan đến các lỗi tái nhập kiểu EVM mà nhiều hơn là về quyền sở hữu, quyền hạn và tính nguyên tử. Nếu bạn làm theo danh sách kiểm tra, bạn sẽ giảm đáng kể bề mặt tấn công của mình trong khi vẫn giữ an toàn cho tài sản của người dùng.