COI:全球首个 Move 智能合约安全审计报告发布

作者:MoveBit

10月11日,专注Move生态的安全公司MoveBit(莫比安全)团队发布了全球首个Move智能合约安全审计报告——《StarcoinFrameworkAuditReport》。

这份审计报告是全球Move生态上的首个智能合约安全审计报告,并最早总结了基于Move构建DApp应用的安全经验,标志着Move生态安全体系建设的开始。

Move语言介绍

Move语言最早是为Meta的Diem区块链项目而开发的,现在Move语言由开源社区维护。Move语言的愿景是帮助开发人员安全、轻松、快速地构建区块链应用程序的框架,Move是为区块链而生的智能合约编程语言。

根据MystenLabs的Move语言的文档介绍,目前有4条公链已经使用Move语言,分别是Aptos、Sui、Starcoin、0LNetwork。目前Starcoin和0LNetwork已经上线主网,而Aptos、Sui还处在测试网阶段。

现场 | 蚂蚁金服副总裁蒋国飞:全球首例区块链贷款在蚂蚁双链通上完成:金色财经现场报道,7月30日在蚂蚁区块链应用与供应链金融的媒体沟通会中,蚂蚁金服副总裁兼阿里巴巴达摩院金融科技实验室主任蒋国飞宣布基于区块链技术的供应链协作网络——蚂蚁区块链“双链通”全面升级开放。这一服务运用区块链技术彻底消灭了供应链金融领域的“萝卜章、假合同”问题,可以让小微商家也能享受高效便捷的金融服务。

蒋国飞介绍,目前,这一模式已在成都率先跑通。注册资本只有30元的成都百脑汇“冠勇专卖店”,与上游企业中科大旗一起在蚂蚁双链通上完成了第一单融资,为他们提供担保的是成都中小企业融资担保有限责任公司。蚂蚁区块链由此完成了区块链技术在供应链金融模式中的全链路覆盖——上链后,整个融资流转过程清晰留痕、不可篡改,一链杜绝了资金挪用等风险。

蒋国飞还表示,利用双链通,供应链金融这一融资模式将被大大激活,信贷可得性、融资覆盖面会大幅度提升。全国有275家注册担保机构,预计能够覆盖1000万家以上小微商家。根据艾瑞《区块链+供应链金融行业研究报告》预测,至2023年,区块链可让供应链金融市场渗透率增加28.3%,将带来约3.6万亿市场规模增量。[2019/7/30]

Starcoin是一个2021年6月主网上线的以PoW为核心共识机制的Move区块链,使用增强的工作证明共识和Move语言。它通过分层和灵活的互操作性来优化DeFi、NFT、游戏等不同生态系统的构建。

现场 | 梅西代言,全球首款区块链智能手机Finney正式发布:金色财经现场报道,由Sirin Labs研发的全球第一款区块链智能手机Finney今日在巴塞罗那举行了发布会,该手机具有当前主流旗舰手机硬件配置,同时支持加密货币冷钱包功能。Finney采用独特的双屏幕双处理器设计,在安全方面采用IPS底层防御系统以及三重芯片设计确保加密货币转账交易安全。世界著名足球明星里奥·梅西作为代言人和嘉宾出席了此次发布会。[2018/11/30]

StarcoinFramework是Starcoin链上的通用Move库,包括了账户、NFT、Token等通用标准,是生态建设的重要基础设施。StarcoinFramework的安全性是Starcoin上开发各种Move项目应用安全的基础。

Move智能合约的重要概念

MoveProver:Move中内置用于智能合约的形式化验证工具叫做MoveProver,通过这个工具,你能够断言所写智能合约的特性和规范,为智能合约运行提供额外安全保障。它的基本思想是通过形式验证领域的自动定理证明求解器来验证程序是否符合某种规范(specification)。

牛津大学教授计划推出全球首个基于区块链的分权化大学:据cointelegraph消息,牛津大学一群教授计划推出全球首个基于区块链的分权化大学,目前正在欧盟寻求全球首个“区块链大学”的全权授予权。据悉该大学将采用传统Oxbridge课程和大学结构,侧重于单独的tutorialled模块,可供学生线上或线下使用。[2018/6/15]

MoveSpecification:Move自己定义了一套规范语言,它通过前提条件、后置条件、不变式等来描述程序怎么样才算正确运行。MoveSpecification可以直接在程序中插入,或者单独写成一个MoveSpecification文件。MoveSpecification常被缩写成MoveSpec。

MoveFramework:Move语言的关键设计是能够将特定于区块链的框架逻辑与Move语言的通用功能分离。MoveFramework是链的创世状态中的内置的一组Move模块。这些模块通常实现诸如账户、Token等关键组件,一般是用于实现特定区块链的通用框架逻辑,是DApp开发的基础。

全球首个EOS安全管家:区块链形式化验证平台VaaS:电子科技大学信息与软件工程学院杨霞副教授带领一支区块链形式化验证团队,经过近2年的研究和努力,研制出了一套高度自动化的区块链形式化验证平台VaaS(Verification as a Service)。VaaS提供了针对智能合约的形式化验证工具,极大提高了智能合约的安全性与可靠性。产品通过对合约代码进行严格的安全验证,杜绝逻辑漏洞,确保合约安全,在满足实际应用效率需求的同时,达到有效控制漏洞风险的目的。近期,VaaS将重点专注于EOS区块链平台的形式化验证工作,为EOS提供全面的形式化验证服务。[2018/4/2]

构建MoveDApp应用的安全经验

在过去的几周中,专注于Move安全生态的安全公司MoveBit与Starcoin团队进行了深入交流合作,对StarcoinFramework的每个细节进行了审计。

泰国前副总理亲自带队来华完成全球首例加密货币领域重大资产重组:泰国前副总理兼外交部长Prachuab Chaiyasan亲自带队来华,于1月28日上午完成泰国WIN GC集团对已上线OKEX交易所的加密货币IPC的全资控股及重大资产重组,这是全球首例加密货币的重大资产重组案例,开创了区块链领域全新的打法,泰国WIN GC集团由数位泰国政要及其家族创立。[2018/1/28]

MoveBit深入研究了StarcoinFramework的代码结构,作为最早上线的MoveFramework,其中Account、Token、STC、Config、DAO、NFT、Oracle、Genesis和Block等代码功能全面,覆盖了大部分开发者的通用场景需求。基于此,MoveBit最早总结了基于Move构建DApp应用的安全经验,对以下14类风险进行了分析。

Transaction-orderingdependence

Timestampdependence

Integeroverflow/underflow

Numberofroundingerrors

Denialofservice/logicaloversights

Accesscontrol

Centralizationofpower

logiccontradictingthespecification

Codeclones,functionalityduplication

Gasusage

Arbitrarytokenminting

UncheckedCALLReturnValues

Theflowofcapability

WitnessType

MoveBit的发现

StarcoinFramework作为Starcoin的Move标准库,包含69个Move源文件和70多个模块。在此审计工作之前,我们提前阅读了StarcoinSIP和其他开发资源。我们首先回顾了框架架构,然后主要进行了人工代码审查、测试和使用MoveProver的形式化验证。

我们一直与Starcoin团队保持密切联系,在v11版本中一共发现了21个Issue(其中Major1个,Medium4个,Minor16个),已汇总成审计报告并对外公开。在与Starcoin团队的会议期间,我们对所有问题进行了广泛讨论。一些问题已经在后续迭代中得到修复,其他问题讲很快得到解决。除了原生函数和一些包含无法推理的特殊元素的函数外,我们为大多数函数和文件添加了形式化验证代码MoveSpecification。所有的形式化验证代码都会作为PR提交到代码仓库,最终由Starcoin团队在以后的升级和修订中合并。

审计报告链接:https://www.movebit.xyz/file/Starcoin-Framework-Audit-Report.pdf

这份审计报告是全球Move生态的第一个智能合约安全审计报告,标志着Move生态安全体系建设的开始。MoveBit将与Move社区同行,专注为Move生态的安全保驾护航。

关于Starcoin

Starcoin,主网已在2021年5月上线,是Move生态第一个无许可公链,基于最成熟的去中心化共识增强版PoW以及智能合约语言Move提供来自原力的安全,通过分层的灵活互操作性,为参与Web.3.0生态搭建的人们提供价值赋能的数字资产服务的分布式金融网络。

关于MoveBit

MoveBit(莫比安全)团队是一家服务于Move生态的安全公司,其愿景是让Move生态成为最安全的Web3生态系统。MoveBit团队由学术界安全大牛和企业界安全领军人物组成,具有10年的安全经验,在NDSS、CCS等顶级国际安全学术会议上发表安全研究成果。团队是Move生态最早期的贡献者,与Move开发者共同制定安全Move应用的标准。MoveBit已经陆续与全球多家知名交易所、公链项目合作,为合作伙伴提供安全审计服务。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

[0:15ms0-1:1ms