2024年,暴漲的Sui勢頭強勁,打響了Move生態的第一炮。
首先是近一週暴漲接近70%,讓市場再次關注這個Move系的亮眼之星,根據DefiLlama 數據,Sui TVL 已達3.27 億美元,24小時漲幅6.76%,過去7 日上漲73.19%。目前其鏈上TVL 排名前三名的協議分別為:Cetus(6,244 萬美元)、NAVI Protocol(6,142 萬美元)以及Scallop Lend(5,496 萬美元)。
身為Move生態的重要一員,Sui致力於促進數位資產的安全、互通性和永續發展。今天,跟著Beosin研究團隊的安全視角,再看看2024年Sui還有哪些機會。
勢頭強勁的Sui,是Solana Killer還是ETH Killer?
Sui 是由Mysten Labs 打造的一條高效能公鏈,讓開發人員能在Sui 上建立低延時,高吞吐量的應用。 Mysten Labs 由原Facebook 的Novi 專案負責人Evan Cheng 創立,在2021年12月融資3,600萬美元,之後在2022年9月以超過20億美元的估值融資3億美元。
Sui 的特點是採用以物件為核心的資料模型。每個物件會儲存一個全域的,唯一的ID、一份擁有者的元資料、一個版本號(version:每次該物件被呼叫後會加1) 和二進位規範序列化資料(Binary Canonical Serialization) ,如下圖所示:
由於採用了物件的資料模型,Sui 可以根據不同交易中的物件是否互相依賴將交易分組,從而在不同的節點處理不同的交易,實現並行處理多筆交易。
Sui 將物件分為owned object和shared object。
Owned object使用場景有代幣和NFT。對於只包含owned object的交易,Sui 採用Byzantine Consistent Broadcast(BCB) 共識演算法來確認交易。 BCB共識演算法可以簡單理解為首先由驗證者投票是否打包交易,然後交易發起者統計投票結果,再由驗證者檢驗統計結果是否正確來決定是否打包交易。這個演算法優點在於統計過程在客戶端執行,減少了驗證者節點之間的溝通時間,從而快速確認交易。
Shared object使用場景為DeFi、NFT交易市場、遊戲等需要與使用者頻繁互動的應用程式。對於包含shared object的交易,Sui 採用Narwhal 和Bullshark 協議進行排序和驗證。 Narwhal 是Sui 的交易記憶體池,負責檢查待處理的交易並產生一條有向無環圖路徑遍歷這些交易。 Bullshark 對某一特定的有向無環圖遍歷達成共識,從而確認這些交易的特定順序。
基於以上的設計,目前Sui測試的TPS最高達到了297,000,確認交易的時間約為480ms,效能表現優異。
相較於Solana和以太坊,Sui有哪些優點?
(1) 底層設計較安全
Sui支援的Move智能合約需先進行位元組驗證隨後再執行。 Move語言有內建的字節碼驗證器以檢查資源、類型和記憶體安全。這樣可以在執行合約之前檢查許多常見錯誤並且避免合約遭受惡意程式碼的攻擊。
(2) 原生資源安全
Sui以物件(object) 為核心的資料模型允許開發者使用copy、drop、store、key這四個關鍵字對資源進行權限設定和編程,而Solana無原生的資源安全,資源安全由各個合約自行實現。
(3) 更注重用戶安全
Sui提供交易預執行服務,錢包服務提供者可以在預執行合約後將合約執行結果和合約權限告知用戶,幫助他們在交互dApp時能夠在簽署交易前清楚地知道交易可能造成的後果,大大降低欺詐風險。
Sui上的三劍客,還有哪些機會可以參與?
目前Sui頭部專案有一站式DeFi專案Cetus、借貸專案NAVI Protocol和Scallop Lend,這三劍客佔據Sui生態50%的TVL。
1. Cetus
Cetus設定的主要目標是開發靈活且強大的一級流動性網絡,為Aptos和Sui的資產交易提供便利。該協議的目標是為DeFi生態系統中的消費者提供最佳的交易體驗和效率。它透過重點流動性協定以及一系列相關的可互通操作模組來實現這一點。
https://app.cetus.zone/pool/list
目前部分流動性池子獲得Sui官方的流動性激勵,獲得CETUS獎勵的同時也可獲得SUI代幣獎勵。
2. NAVI Protocol
NAVI Protocol提供主流代幣、穩定幣和CETUS代幣的借貸服務。 NAVI的創新功能,例如自動槓桿金庫和隔離模式,使用戶能夠利用其資產並以最小的風險獲得新的交易機會。 NAVI的設計為不同風險等級的數位資產提供了支持,同時其先進的安全功能確保了用戶資金的保護和系統性風險的緩解。
https://app.naviprotocol.io/market
目前NAVI與OKX DeFi合作推出了代幣額外升息服務,用戶可存入USDC享受高達35%的APY。其獎金池總共為50000USDC和100000CETUS,獎金池領完為止。
3. Scallop Lend
Scallop Lend是Sui生態第一大的借貸協議,也是第一個獲得Sui 基金會官方資助的DeFi 協議。與NAVI Protocol類似,Scallop Lend提供8種代幣的借貸服務,並提供專業交易者的SDK。在2024年1月1日Scallop Lend完成空投快照,空投第一階段開啟。
https://app.scallop.io/
錯過這次空投活動的用戶可以繼續使用Scallop Lend的借貸服務以獲得Scallop Lend第二階段的空投獎勵。
Beosin推出針對Move智能合約的安全審計服務
Beosin與Sui的合作從去年已開始,此前Beosin安全團隊發現了多個公鏈的漏洞。其中一個漏洞比較有意思,我們與Sui團隊溝通後,徵得同意可以將其詳細資訊公開。這是Sui公鏈p2p協定中的一個拒絕服務漏洞,該漏洞可導致Sui網路中的節點因記憶體耗盡而崩潰。這個拒絕服務漏洞是由一個古老的攻擊方式引起的——“內存炸彈”,詳情可閱讀:《Beosin發現Move VM嚴重級別漏洞:可導致Sui、Aptos 等公鏈全網崩潰,甚至可能硬分叉》。
Move合約可能出現的漏洞點
1) 開發者在使用Aptos、Sui,或其他基於Move的blockchain中獨特的Framework進行開發時,應保持一定程度的安全意識,確保供應鏈安全。
2) 函數權限問題。對於一些函數呼叫的權限要仔細劃分,因為一些關鍵函數會涉及到治理,嚴重的會影響到資金安全,針對這種函數呼叫需要對呼叫者進行鑑權。
3) 業務邏輯在設計與程式碼實作時,均需注意其中的邏輯問題。如一些DeFi計畫關於閃電貸的實現,先前Beosin對Move版本的閃電貸進行了研究,詳情可查看《Web3技術研究| Solidity閃電貸實現方式與Move以及Rust閃電貸實現方式有何不同? 》。
4) 關於Move系項目,在模組升級時需要注意程式碼的 owner 在初始部署後是不可改變的,且部署者的位址在部署後永遠擁有升級權限。
Move合約審計服務與審計項
Beosin安全團隊在2022年底已推出針對Move智能合約的安全審計服務,旨在提前發現並協助專案方修復專案中的安全風險,並確保用戶與專案方的資產安全。其主要安全審計項包括:
•溢位漏洞
•重播攻擊
•不安全的隨機數
•交易順序依賴
•拒絕服務
•存取控制
•權限不當
•業務設計
•業務實現
•可操縱的代幣價格
•套利攻擊
•Gas優化
•第三方模組安全
•能力安全
•資源安全
•升級安全
•中心化風險
Beosin Move智能合約安全審計服務的詳細資訊可查看《Beosin | 正式推出針對Move智能合約的安全審計服務,從安全角度看Move語言(上)》。
此外,Beosin於2023年推出Move Lint靜態偵測工具,協助開發者實現
自動化發現合約中的潛在安全隱患,定位漏洞產生的位置,增強合約的安全性。詳細介紹可查看《Beosin推出Move Lint靜態檢測工具,透過最佳實務提升Sui公鏈智能合約開發的安全性》。
2024年Sui會實現更快的成長嗎?
Move智能合約語言被設計為安全且可靠的,以避免一些傳統智能合約語言(如Solidity)中存在的漏洞和安全風險。這使得Sui的合約更加可信和安全,為使用者提供了更好的保障。
Sui在2024年開始發力,注重生態發展成為其打法之一,Sui的總鎖定價值(TVL)已達到3.27億美元,顯示出用戶對該項目的信任和參與度,顯示其生態系統的快速成長和用戶的持續增加。此外,Sui在非EVM鏈上TVL排名中位列前三,與其他協議如Cetus、NAVI Protocol和Scallop Lend一起,共同推動Move生態系統的發展。
2024年的Sui會起飛嗎,我們拭目以待。
