暴漲的Sui勢頭強勁准備打響Move生態的第一炮？

2024-01-17 00:01:07

2024年，暴漲的Sui勢頭強勁，打響了Move生態的第一炮。

首先是近一周暴漲接近70%，讓市場再次關注到這個Move系的亮眼之星，據 DefiLlama 數據， Sui TVL 已達 3.27 億美元，24小時漲幅 6.76%，過去 7 日上漲 73.19%。 當前其鏈上 TVL 排名前三位的協議分別為：Cetus（6244 萬美元）、NAVI Protocol（6142 萬美元）以及 Scallop Lend（5496 萬美元）。

作為Move生態的重要一員，Sui致力於促進數字資產的安全、互操作性和可持續發展。 今天，跟隨Beosin研究團隊的安全視角，再次看看2024年Sui還有哪些機會。

勢頭強勁的Sui，是Solana Killer還是ETH Killer?

Sui 是由 Mysten Labs 打造的一條高性能公鏈，使得开發人員能在 Sui 上構建低延時，高吞吐量的應用。Mysten Labs 由原 Facebook 的 Novi 項目負責人 Evan Cheng 創立，在2021年12月融資3600萬美元，之後在2022年9月以超過20億美元的估值融資3億美元。

Sui 的特點是採用以對象為核心的數據模型。 每個對象會存儲一個全局的，唯一的ID、一份所有者的元數據、一個版本號 (version：每次該對象被調用後會加1) 和二進制規範序列化數據 (Binary Canonical Serialization) ，如下圖所示：

由於採用了對象的數據模型，Sui 可以根據不同交易中的對象是否互相依賴將交易進行分組，從而在不同的節點處理不同的交易，實現並行處理多筆交易。

Sui 將對象分為owned object和shared object。

Owned object使用場景有代幣和NFT 。對於只包含owned object的交易，Sui 採用 Byzantine Consistent Broadcast(BCB) 共識算法來確認交易。BCB共識算法可以簡單理解為首先由驗證者投票是否打包交易，然後交易發起者統計投票結果，再由驗證者檢驗統計結果是否正確來決定是否打包交易。這一算法優點在於統計過程在客戶端執行，減少了驗證者節點之間的溝通時間，從而快速確認交易。

Shared object使用場景為DeFi、NFT交易市場、遊戲等需要與用戶頻繁交互的應用 。對於包含shared object的交易，Sui 採用 Narwhal 和 Bullshark 協議進行排序和驗證。Narwhal 是 Sui 的交易內存池，負責檢查待處理的交易並生成一條有向無環圖路徑遍歷這些交易。Bullshark 對某一特定的有向無環圖遍歷達成共識，從而確認這些交易的特定順序。

基於以上的設計，目前Sui測試的TPS最高達到了297,000，確認交易的時間約為480ms，性能表現優異。

相比於Solana和以太坊，Sui有哪些優勢?

(1) 底層設計更安全

Sui支持的Move智能合約需先進行字節驗證隨後再執行。Move語言有內置的字節碼驗證器以檢查資源、類型和內存安全。這樣可以在執行合約前檢查許多常見錯誤並且避免合約遭受惡意代碼的攻擊。

(2) 原生資源安全

Sui以對象 (object) 為核心的數據模型允許开發者使用 copy、drop、store、key這四個關鍵詞對資源進行權限設置和編程，而Solana無原生的資源安全，資源安全由各個合約自行實現。

(3) 更注重用戶安全

Sui提供交易預執行服務，錢包服務提供商可以在預執行合約後將合約執行結果和合約權限告知用戶，幫助他們在交互dApp時能夠在籤署交易前清楚地知道交易可能造成的後果，大大降低欺詐風險。

Sui上的三劍客，還有哪些機會可以參與？

目前Sui頭部項目有一站式DeFi項目Cetus、借貸項目NAVI Protocol和Scallop Lend，這三劍客佔據Sui生態50%的TVL。

1. Cetus

Cetus設定的主要目標是开發靈活且強大的一級流動性網絡，為Aptos和Sui的資產交易提供便利。該協議的目標是為DeFi生態系統中的消費者提供最好的交易體驗和效率。它通過重點流動性協議以及一系列相關的可互操作操作模塊來實現這一點。

https://app.cetus.zone/pool/list

目前部分流動性池子獲得Sui官方的流動性激勵，獲得CETUS獎勵的同時還可獲得SUI代幣獎勵。

2. NAVI Protocol

NAVI Protocol提供主流代幣、穩定幣和CETUS代幣的借貸服務。NAVI的創新功能，例如自動槓杆金庫和隔離模式，使用戶能夠利用其資產並以最小的風險獲得新的交易機會。NAVI的設計為不同風險級別的數字資產提供了支持，同時其先進的安全功能確保了用戶資金的保護和系統性風險的緩解。

https://app.naviprotocol.io/market

目前NAVI與OKX DeFi合作推出了代幣額外加息服務，用戶可存入USDC享受高達35%的APY。其獎池總共為50000USDC和100000CETUS，獎池領完即止。

3. Scallop Lend

Scallop Lend是Sui生態第一大的借貸協議，也是第一個獲得 Sui 基金會官方資助的 DeFi 協議。與NAVI Protocol類似，Scallop Lend提供8種代幣的借貸服務，並提供面向專業交易者的 SDK。在2024年1月1日Scallop Lend完成空投快照，空投第一階段开啓。

https://app.scallop.io/

錯過本次空投活動的用戶可以繼續使用Scallop Lend的借貸服務以獲得Scallop Lend第二階段的空投獎勵。

Beosin推出針對Move智能合約的安全審計服務

Beosin與Sui的合作從去年已开始，此前Beosin安全團隊發現了多個公鏈的漏洞。其中一個漏洞比較有意思，我們與Sui團隊溝通後，徵得同意可以將其詳細信息公开。這是Sui公鏈p2p協議中的一個拒絕服務漏洞，該漏洞可導致Sui網絡中的節點因內存耗盡而崩潰。這個拒絕服務漏洞是由一個古老的攻擊方式引起的——“內存炸彈”，詳情可閱讀：《Beosin發現Move VM嚴重級別漏洞：可導致 Sui、Aptos 等公鏈全網崩潰，甚至可能硬分叉》。

Move合約可能出現的漏洞點

1）开發者在使用Aptos、Sui，或者其他基於Move的blockchain中獨特的Framework進行开發時，應保持一定程度的安全意識，確保供應鏈安全。

2）函數權限問題。對於一些函數調用的權限要仔細劃分，因為一些關鍵函數會涉及到治理，嚴重的會影響到資金安全，針對這種函數調用需要對調用者進行鑑權。

3）業務邏輯在設計和代碼實現時，均需注意其中的邏輯問題。如一些DeFi項目關於閃電貸的實現，此前Beosin對Move版本的閃電貸進行了研究，詳情可查看《Web3技術研究 | Solidity閃電貸實現方式與Move以及Rust閃電貸實現方式有何不同？》。

4）關於Move系項目，在模塊升級時需要注意代碼的 owner 在初始部署後是不可改變的，且部署者的地址在部署後永遠擁有升級權限。

Move合約審計服務與審計項

Beosin安全團隊在2022年年底已推出針對Move智能合約的安全審計服務，旨在提前發現並協助項目方修復項目中的安全風險，保障用戶與項目方的資產安全。其主要安全審計項包括：

•溢出漏洞

•重放攻擊

•不安全的隨機數

•交易順序依賴

•拒絕服務

•訪問控制

•權限不當

•業務設計

•業務實現

•可操縱的代幣價格

•套利攻擊

•Gas優化

•第三方模塊安全

•能力安全

•資源安全

•升級安全

•中心化風險

Beosin Move智能合約安全審計服務的詳細信息可查看《Beosin | 正式推出針對Move智能合約的安全審計服務，從安全角度看Move語言（上）》。

此外，Beosin於2023年推出Move Lint靜態檢測工具，幫助开發者實現

自動化發現合約中的潛在安全隱患，定位漏洞產生的位置，增強合約的安全性。詳細介紹可查看《Beosin推出Move Lint靜態檢測工具，通過最佳實踐提高Sui公鏈智能合約开發的安全性》。

2024年Sui會實現更快的增長嗎？

Move智能合約語言被設計為安全且可靠的，以避免一些傳統智能合約語言（如Solidity）中存在的漏洞和安全風險。這使得Sui的合約更加可信和安全，為用戶提供了更好的保障。

Sui在2024年开始發力，注重生態發展成為其打法之一，Sui的總鎖定價值（TVL）已達到3.27億美元，顯示出用戶對該項目的信任和參與度，表明其生態系統的快速增長和用戶的持續增加。此外，Sui在非EVM鏈上TVL排名中位列前三，與其他協議如Cetus、NAVI Protocol和Scallop Lend一起，共同推動着Move生態系統的發展。

2024年的Sui會起飛嗎，我們拭目以待。