火星链 火星链
Ctrl+D收藏火星链
首页 > 聚币 > 正文

MOV:安全移动

作者:

时间:1900/1/1 0:00:00

作者:AptosLabsandOtterSec

AptosNetwork使用Move智能合约语言作为底层编程模型。虽然Move是为安全智能合约的生态系统而设计的,但Move本身的错误实施可能会危及这些属性。在AptosLabs,我们致力于与社区一起使Move尽可能安全。

我们都在投资于编写正确智能合约的工具,以及Move虚拟机等运行时核心组件的正确性。在本文中,我们描述了我们如何与我们的合作伙伴一起通过审计、错误赏金、模糊测试和底层实现的安全强化来实现后者。

我们要保护什么?

Move的安全性基于一些基本属性。这些属性是根据Move执行引擎使用的字节码定义的,并且独立于源语言:

EOS网络基金会第四批资助名单公示:涵盖开发者工具和安全审计项目:11月18日消息,EOS网络基金会公布第四批资助名单,向EOS生态7个开发者工具和安全审计项目各捐赠价值10万美元的EOS,总额达70万美元。这些项目分别是:区块链审计项目Sentnl、区块链安全项目Slowmist、链上开发资源工具项目Aloha EOS Tools、EOS测试网络Jungle Testnet、用户资源管理项目EOS Powerup、图形IDE项目EOS Studio和浏览器项目EOS Authority Dashboard。

EOS基金会官方表示,扶持开发者工具和安全审计项目能够奠定EOS生态良好的建设基础,感谢以上7个敬业团队多年来的奉献,EOS网络基金会也将继续沿着发展愿景,释放EOS网络发展潜力,助力EOS网络成为开发者构建项目的首选平台。[2021/11/18 22:02:08]

类型安全:每个值都有一个唯一且不可伪造的类型。例如,不可能获取类型为“address”的某些值并将其转换为类型为“signer”的安全相关令牌。

V神:Polygon的缺点是更重视功能而不是安全性:据AMBcrypto 6月6日消息,V神表示,Roll-ups和侧链之间有着巨大的区别。Roll-ups继承了以太坊的安全性;而在侧链Polygon中,它不是由以太坊保护的,而是由其自己的代币PoS共识保护的。V神进一步声称,MATIC的供应分布并不广泛,这可能会导致网络的不当使用。根据V神说法,Polygon更重视功能而不是安全性,这本身就是其网络的一个缺点。但他表示,随着应用程序的成熟,Polygon链将随着时间的推移而成熟。此外,关于以太坊在成本和效率上的问题,V神表示:“我认为我们对以太坊的妥协是其中之一是,我们必须采取‘糟糕的’解决方案,该方案既能向前兼容,又能随着时间的推移变得更好。”[2021/6/6 23:15:18]

模块化封装:存储中的资源只能通过声明这些资源的模块内的代码进行操作。只有具有匹配可见性的函数才能称为跨模块。

动态 | 毕马威与安全公司Guardtime合作 利用区块链改进业务流程:据tokenpost报道,咨询巨头毕马威与软件安全公司Guardtime建立了合作伙伴关系,利用区块链技术建立透明,可追溯和安全的业务流程。[2019/2/21]

所有权和生命周期:Move的能力系统强制不复制、删除、存储或用作键,除非为值类型声明了相应的能力。

引用安全:引用不会比它们指向的值长寿。可变引用是专有的,因此不可能使用别名。

Move虚拟机的传统架构将上述属性的验证委托给验证器,如下图所示:

以下是我们感兴趣的问题:字节码验证器是否完整,是否保证每个程序都满足上述所有属性?这很重要,因为违反上述任何属性都可能导致资产损失。给定的Move字节码程序会使执行引擎崩溃吗?因为在复制状态机中,所有节点都执行相同的程序,这可以用来停止网络。给定的程序是否会导致执行引擎耗尽资源?这可以被用来进行DoS攻击,从而减慢或暂停网络。

周鸿祎:未来区块链行业一定会出现更多的安全问题,这就是我们的机会:周鸿祎称:“我们现在看区块链,涉足区块链,肯定还是围绕安全。我希望大家记住,EOS这个漏洞,不是最后一个,也一定不是最厉害的一个。未来区块链行业一定会出现更多的安全问题,这就是我们在其中的机会。”[2018/5/30]

我们是怎么做到的?

开发无错误代码的核心是严格的软件工程实践与正确的工具相结合。在Aptos,我们遵循严格的强制代码审查和持续测试与集成流程,并结合Rust生态系统的最佳实践。除了这些传统方面之外,我们还采用以下措施来确保Move的安全性符合其设计要求。

审计和咨询

业内最受推崇的衡量区块链网络信心的措施之一是审计。在AptosLabs,我们与Certik和Halborn签订了审计Move虚拟机的合同。发现了多个关键问题,其中之一属于类型安全类别。

除了外部审计外,AptosLabs还领导并组织了社区审计工作,重点是字节码验证器。来自MystenLabs、Starcoin以及MoveBit和OtterSec等审计公司的工程师与Aptos工程师合作完成这项工作,投入了大约6人周的审计时间。此电子表格中捕获了此结果,参考了在此审计期间创建的数十个文档。在Aptos进入主网之前,这项审计工作发现并解决了多个问题。

最后但同样重要的是,我们与OtterSec有着密切的合作。OtterSec团队执行了手动代码审查并为各种目标开发了模糊测试技术,确定了MoveVM和Aptos框架代码中的多个关键问题。他们还带头努力向MoveVM添加冗余的纵深防御逻辑,影响我们正在进行的设计工作,以减轻进一步的资金损失漏洞。

BugBounty

AptosLabs运行一个漏洞赏金计划。对于可能导致资产损失的严重错误,提供高达1,000,000美元的赏金。同样,崩溃错误最高可获得100,000美元的奖励。

通过赏金计划,我们与一群才华横溢的安全研究人员密切合作,以查找和修复漏洞。其中一些错误属于严重类别,而其他错误是通过使用模糊器发现的崩溃。

AptosLabs履行了其在漏洞赏金方面的承诺,并支付了可观的赏金。此外,AptosLabs继续利用我们通过赏金计划遇到的白帽专家的专业知识,并打算继续与这个社区合作。

模糊测试

赏金计划促使我们自己投资AptosLabs的模糊测试。MoveVM代码已被修改以在相关点实现“Arbitrary”Rust模糊测试特性,从而允许使用“cargofuzz”来动态生成和验证字节码模块。我们有一些连续的工作在运行这些模糊测试目标。

冗余

实现额外安全保证的一种方法是通过冗余。我们向MoveVM添加了一种所谓的偏执模式,它在执行时强制执行类型安全和上述其他规则。虽然字节码验证器在代码进入系统时已经检查了这些属性,但偏执狂模式会在字节码执行期间再次验证相同的检查。偏执模式在Move社区内得到了广泛讨论,Aptos工程师领导了设计。有关更多信息,请参阅此PR和此PR。下一步是什么?

在AptosLabs,我们致力于使Move尽可能安全,并在该领域投入了大量资金。在这里,我们描述了我们和我们的合作伙伴围绕审计、漏洞赏金、模糊测试和强化所做的持续努力。展望未来,我们计划继续投资这个领域。我们将继续提供漏洞赏金计划,与信誉良好的安全审计师合作,并推动安全强化工具的开发,例如模糊测试技术。

标签:MOVMOVEAptosTOSVicMovemovez币项目方aptos币去哪里买TOSS价格

聚币热门资讯
EFI:参与DeFi投资的9项基本原则,8个注意事项及7条经济建议

近段时间DeFi热度稍减,无论从DeFi代币价格还是回报率来看,相比盛时都有所回落。不过如果说DeFi已入寒冬就显得夸张了。我相信,DeFi下一波趋势正在蓄力待发.

1900/1/1 0:00:00
MEV:fg美人打鱼哪个平台有?哪个网站安全稳定一般人我不告诉他!

“你必须非常努力才能看起来毫不费力”,这句充满正能量的心灵鸡汤激励了无数向往成功的人。然而我更喜欢巴菲特的一句名言“如果你在错误的路上,奔跑也没有用”.

1900/1/1 0:00:00
HAI:Chainge 正式接入 OKX Web3 钱包,其 TVL 升至 Dexes 赛道前10

据ChaingeFinance官网显示,ChaingeFinance现已正式接入OKXWeb3钱包。作为全链去中心化DeFi应用聚合器,Chainge开创了跨链漫游功能.

1900/1/1 0:00:00
TAL:EDCON 2023 大会 Vitalik 演讲精华:扩容、隐私和用户安全

作者:Web3CN自以太坊成立以来,一直用PoW来验证交易,直到去年才由PoW过渡到PoS,随着以太坊使用的增加,也出现了很多性能问题.

1900/1/1 0:00:00
比特币:韩币钰:10.25比特币和以太坊今日暴涨暴跌晚间行情预测先跌后涨

不必太纠结于当下,也不必太忧虑未来。当你经历过一些事情的时候,眼前的风景已经和从前不一样了。人生没有无用的经历,只要我们一直向前走,天总会亮的.

1900/1/1 0:00:00
300:八哥论币:10.26比特币底部不断太高 留给行情选择方向的时间已不多

人的一生,总是失意的时候多,得意的时候少,无论失意还是得意,都要淡定。失意的时候要坦然,得意的时候要淡然。如果说挫折是生命的财富,那么创伤就是前进的动力。胜败乃兵家常事,悲喜乃人之常情.

1900/1/1 0:00:00