COI:全球首个 Move 智能合约安全审计报告发布

作者：MoveBit

10月11日，专注Move生态的安全公司MoveBit(莫比安全)团队发布了全球首个Move智能合约安全审计报告——《StarcoinFrameworkAuditReport》。

这份审计报告是全球Move生态上的首个智能合约安全审计报告，并最早总结了基于Move构建DApp应用的安全经验，标志着Move生态安全体系建设的开始。

Move语言介绍

Move语言最早是为Meta的Diem区块链项目而开发的，现在Move语言由开源社区维护。Move语言的愿景是帮助开发人员安全、轻松、快速地构建区块链应用程序的框架，Move是为区块链而生的智能合约编程语言。

根据MystenLabs的Move语言的文档介绍，目前有4条公链已经使用Move语言，分别是Aptos、Sui、Starcoin、0LNetwork。目前Starcoin和0LNetwork已经上线主网，而Aptos、Sui还处在测试网阶段。

赤子城科技全球首款视频社交数字藏品集合正式上线:金色财经报道，赤子城科技（09911.HK）全球首款视频社交数字藏品集合“YUMY QUEEN 2021 NFTs”正式上线。该数字藏品集合由公司旗下产品Yumy的用户社区组织YUMY QUEEN DAO发布，目前已落地于Yumy的社交生态中。

赤子城科技CEO李平表示，“YUMY QUEEN 2021 NFTs”的落地，是继内测元宇宙模块MetaTown、与虚拟技术公司达成战略合作之后，赤子城科技在元宇宙领域的又一重要布局。这不仅表明赤子城科技在进一步探索元宇宙社交新玩法，也意味着公司正在为社交内容生态链的延伸打开更多想象空间。”（证券日报）[2022/3/17 14:02:18]

Starcoin是一个2021年6月主网上线的以PoW为核心共识机制的Move区块链，使用增强的工作证明共识和Move语言。它通过分层和灵活的互操作性来优化DeFi、NFT、游戏等不同生态系统的构建。

渣打开出全球首张离岸人民币跨国区块链信用证:近日，渣打银行通过康拓（Contour）平台开出了全球首张以离岸人民币计价结算的跨国区块链信用证，用以支持国内最大的钢铁集团中国宝武钢铁集团有限公司从澳大利亚进口铁矿石的交易。

同时，此次也是铁矿石业内首笔全程无纸化的人民币交易。同时也是在新冠肺炎疫情持续发酵的背景下，基于区块链技术的数字化方案解决了传统贸易金融中对纸质文档高度依赖的痛点。（财联社）[2020/5/12]

StarcoinFramework是Starcoin链上的通用Move库，包括了账户、NFT、Token等通用标准，是生态建设的重要基础设施。StarcoinFramework的安全性是Starcoin上开发各种Move项目应用安全的基础。

Move智能合约的重要概念

MoveProver:Move中内置用于智能合约的形式化验证工具叫做MoveProver，通过这个工具，你能够断言所写智能合约的特性和规范，为智能合约运行提供额外安全保障。它的基本思想是通过形式验证领域的自动定理证明求解器来验证程序是否符合某种规范(specification)。

GMO全球首款7nm比特币矿机算力将达到24TH / s:据coindesk消息，日本IT巨头GMO互联网公司已经透露了其即将推出的全球首款基于7nm芯片的比特币矿机的详细信息。该公司周二在新闻发布会表示，新型B2矿机的7nm ASIC（专用集成电路）将在制造。根据彭博社记者发布的消息，B2矿机将提供24TH / s的算力，每个单元的功耗为1950W。相比之下，目前比特大陆Antminer S9 的算力为14TH / s。B2矿机的价格将为1999美元，而Antminer S9的价格为837美元。据此前消息，B2矿机将于6月6日开始发售。[2018/6/6]

MoveSpecification:Move自己定义了一套规范语言，它通过前提条件、后置条件、不变式等来描述程序怎么样才算正确运行。MoveSpecification可以直接在程序中插入，或者单独写成一个MoveSpecification文件。MoveSpecification常被缩写成MoveSpec。

TrustNote公有链全球首发基于DAG技术的智能合约标准TRC-20:近日，TrustNote项目发布了一项技术成果：Token标准规范，即TRC-20。此次，高速异步DAG公有链TrustNote发布自己的TRC-20 Token标准，完善了技术生态体系，同时实现了Token发行平台和高速DAG链底层松散耦合，使得用户可以快速发布自己的Token。[2018/5/4]

MoveFramework：Move语言的关键设计是能够将特定于区块链的框架逻辑与Move语言的通用功能分离。MoveFramework是链的创世状态中的内置的一组Move模块。这些模块通常实现诸如账户、Token等关键组件，一般是用于实现特定区块链的通用框架逻辑，是DApp开发的基础。

构建MoveDApp应用的安全经验

在过去的几周中，专注于Move安全生态的安全公司MoveBit与Starcoin团队进行了深入交流合作，对StarcoinFramework的每个细节进行了审计。

火币矿池：全球首家数字货币开采与交易一体化的矿池平台上线:火币致力于打造安全可信赖的比特币交易平台，以用户体验为核心，提供专业、极致的数字货币基础服务。为满足广大用户对于矿池业务的需求，将于2018年3月30日正式上线火币矿池。[2018/3/30]

MoveBit深入研究了StarcoinFramework的代码结构，作为最早上线的MoveFramework，其中Account、Token、STC、Config、DAO、NFT、Oracle、Genesis和Block等代码功能全面，覆盖了大部分开发者的通用场景需求。基于此，MoveBit最早总结了基于Move构建DApp应用的安全经验，对以下14类风险进行了分析。

Transaction-orderingdependence

Timestampdependence

Integeroverflow/underflow

Numberofroundingerrors

Denialofservice/logicaloversights

Accesscontrol

Centralizationofpower

logiccontradictingthespecification

Codeclones,functionalityduplication

Gasusage

Arbitrarytokenminting

UncheckedCALLReturnValues

Theflowofcapability

WitnessType

MoveBit的发现

StarcoinFramework作为Starcoin的Move标准库，包含69个Move源文件和70多个模块。在此审计工作之前，我们提前阅读了StarcoinSIP和其他开发资源。我们首先回顾了框架架构，然后主要进行了人工代码审查、测试和使用MoveProver的形式化验证。

我们一直与Starcoin团队保持密切联系，在v11版本中一共发现了21个Issue(其中Major1个，Medium4个，Minor16个)，已汇总成审计报告并对外公开。在与Starcoin团队的会议期间，我们对所有问题进行了广泛讨论。一些问题已经在后续迭代中得到修复，其他问题讲很快得到解决。除了原生函数和一些包含无法推理的特殊元素的函数外，我们为大多数函数和文件添加了形式化验证代码MoveSpecification。所有的形式化验证代码都会作为PR提交到代码仓库，最终由Starcoin团队在以后的升级和修订中合并。

审计报告链接：https://www.movebit.xyz/file/Starcoin-Framework-Audit-Report.pdf

这份审计报告是全球Move生态的第一个智能合约安全审计报告，标志着Move生态安全体系建设的开始。MoveBit将与Move社区同行，专注为Move生态的安全保驾护航。

关于Starcoin

Starcoin,主网已在2021年5月上线，是Move生态第一个无许可公链，基于最成熟的去中心化共识增强版PoW以及智能合约语言Move提供来自原力的安全，通过分层的灵活互操作性，为参与Web.3.0生态搭建的人们提供价值赋能的数字资产服务的分布式金融网络。

关于MoveBit

MoveBit(莫比安全)团队是一家服务于Move生态的安全公司，其愿景是让Move生态成为最安全的Web3生态系统。MoveBit团队由学术界安全大牛和企业界安全领军人物组成，具有10年的安全经验，在NDSS、CCS等顶级国际安全学术会议上发表安全研究成果。团队是Move生态最早期的贡献者，与Move开发者共同制定安全Move应用的标准。MoveBit已经陆续与全球多家知名交易所、公链项目合作，为合作伙伴提供安全审计服务。

标签：MOVEMOVCOICOINMoveRichGymMovscoin币兑美元Boltt Coin

PEPE币热门资讯