Bahasa pemrograman Move dengan desain manajemen sumber daya yang unik, arsitektur yang mengutamakan keamanan, dan mode pengembangan modularnya, telah membawa perubahan radikal dalam kontrak pintar blockchain. Di bawah pengaruhnya, blockchain baru muncul mencapai terobosan dalam kinerja dan skalabilitas melalui teknologi inovatif seperti eksekusi paralel, desain berpusat pada objek, dan skala horizontal. Namun, dengan terus berkembangnya ekosistem Move, keamanan juga menghadapi tantangan dari aplikasi praktis. Masalah seperti kerentanan penolakan layanan yang terungkap pada tahun 2023 dan 2024 mengungkapkan tantangan keseimbangan antara kompleksitas dan keamanan dalam sistem blockchain. Melalui perbaikan kerentanan yang tepat waktu, penguatan manajemen izin, dan kemajuan verifikasi kode, ekosistem Move secara bertahap membangun model pengembangan blockchain yang seimbang antara inovasi teknologi dan keamanan, membangun dasar untuk evolusi masa depan teknologi blockchain.

Bahasa pemrograman Move: Kekuatan inovasi kontrak pintar blockchain

Sebelum membahas inovasi teknis tertentu di ekosistem Move, kita perlu memahami dasar dari ekosistem ini—bahasa pemrograman Move. Sebagai kekuatan disruptif dalam pengembangan kontrak pintar blockchain, Move tidak hanya mendefinisikan kembali kemungkinan manajemen sumber daya dan pengembangan modular, tetapi juga menyediakan dukungan teknis yang kuat untuk proyek-proyek blockchain terkait di dalam ekosistem melalui desain yang mengutamakan keamanan. Selanjutnya, kami akan menganalisis secara rinci keunggulan unik bahasa Move serta bagaimana proyek blockchain terkait dapat menunjukkan potensi besar ekosistem Move melalui arsitektur kontrak pintar yang inovatif.

Bahasa Move awalnya dikembangkan oleh Facebook (sekarang Meta) untuk proyek Diem (Libra), bertujuan untuk mengatasi kendala kinerja dan keamanan dari bahasa kontrak pintar tradisional. Desain Move menekankan kejelasan dan keamanan sumber daya, memastikan keterkendalian setiap perubahan status di blockchain. Bahasa pemrograman inovatif ini memiliki keunggulan berikut:

Model manajemen sumber daya: Move menganggap aset sebagai sumber daya, sehingga tidak dapat diduplikasi atau dihancurkan. Model manajemen sumber daya yang unik ini menghindari masalah pembayaran ganda atau penghancuran aset yang tidak disengaja yang umum di kontrak pintar.

Desain modular: Move memungkinkan kontrak pintar dibangun dengan cara modular, meningkatkan penggunaan kembali kode, dan mengurangi kompleksitas pengembangan.

Keamanan tinggi: Move secara inheren dilengkapi dengan banyak mekanisme pemeriksaan keamanan di tingkat bahasa untuk mencegah kerentanan umum, seperti serangan reentrancy.

Singkatnya, bahasa pemrograman Move dengan desain inovatif dan keunggulan teknis yang kuat telah menetapkan standar baru untuk pengembangan kontrak pintar blockchain. Dengan menganggap aset sebagai sumber daya yang tidak dapat diduplikasi atau dihancurkan, Move secara signifikan meningkatkan keamanan manajemen sumber daya; desain modularnya memberikan fleksibilitas dan efisiensi pengembangan yang lebih tinggi bagi pengembang. Selain itu, mekanisme pemeriksaan keamanan yang terintegrasi secara efektif menghindari masalah kerentanan umum pada kontrak pintar. Fitur-fitur ini tidak hanya menyelesaikan kendala kinerja dan keamanan dari bahasa kontrak pintar tradisional tetapi juga memberikan inti teknis untuk blockchain baru yang muncul, mendorong perkembangan ekosistem blockchain yang efisien dan aman.

Insiden keamanan di ekosistem Move

Seiring dengan perkembangan ekosistem Move, tantangan keamanan yang banyak juga muncul bersamaan dengan inovasi teknis. Dari desain inti mesin virtual hingga mekanisme operasi jaringan yang spesifik, masalah keamanan menjadi faktor penting yang mempengaruhi perkembangan stabil ekosistem. Dalam beberapa tahun terakhir, dua insiden keamanan penting yang terjadi di ekosistem Move—kerentanan rekursi tak terbatas pada tahun 2023 dan kerentanan DoS memori pool pada tahun 2024—tidak hanya mengungkapkan risiko potensial dalam sistem, tetapi juga menyoroti pentingnya penelitian keamanan dan perbaikan kerentanan dalam ekosistem. Melalui kolaborasi erat antara tim pengembang dan lembaga keamanan pihak ketiga, masalah-masalah ini berhasil diselesaikan dengan cepat, memberikan dasar keamanan untuk pengembangan lebih lanjut ekosistem Move.

Sumber gambar:

https://www.bankless.com/sui-vs-aptos

Detail spesifik dari insiden keamanan adalah sebagai berikut:

Pada Juni 2023, kerentanan penolakan layanan yang serius ditemukan di mesin virtual Move, yang dapat menyebabkan kejatuhan seluruh jaringan Sui, Aptos, dan lainnya, bahkan mungkin hard fork. Peneliti keamanan poetyellow mengungkapkan rincian terkait setelah menemukan kerentanan ini. Namun, tim pengembang mesin virtual Move sebelumnya juga telah menemukan kerentanan ini secara independen dan menghabiskan lebih dari satu bulan untuk memperbaikinya.

Tipe kerentanan ini adalah kerentanan rekursi tak terbatas. Dalam bahasa pemrograman, pemanggilan fungsi yang dilakukan secara rekursif tanpa batas menyebabkan overflow stack, merupakan tipe kerentanan DoS yang umum, bahkan bahasa Rust yang aman pun tidak terhindar.

Pada September 2024, MoveBit berhasil menemukan dan membantu memperbaiki kerentanan DoS memori pool di jaringan Aptos yang dinilai tinggi. Kerentanan ini disebabkan oleh mekanisme pengusiran transaksi di memori pool yang tidak memadai, yang dapat menyebabkan hingga 90% transaksi normal ditolak oleh node. Tim Aptos telah memperbaiki kerentanan ini di versi v1.19.1 dan mengucapkan terima kasih kepada kontribusi MoveBit dalam rilis resmi.

Dari kerentanan rekursi tak terbatas hingga kerentanan DoS memori pool, insiden keamanan ini di ekosistem Move mengungkapkan potensi risiko keamanan di balik inovasi teknis, sekaligus menunjukkan kemampuan ekosistem untuk merespons dan memperbaiki dengan cepat. Namun, penyelesaian tantangan keamanan tidak hanya bergantung pada penanganan satu peristiwa tetapi juga memerlukan optimalisasi sistematis dari level arsitektur keseluruhan dan desain bahasa. Selanjutnya, kami akan membahas secara mendalam beberapa dimensi seperti manajemen sumber daya, kontrol akses, dan audit kode mengenai perhatian berkelanjutan ekosistem Move terhadap keamanan serta menganalisis bagaimana ia menemukan keseimbangan antara perkembangan teknis dan perlindungan keamanan.

Pengamatan keamanan ekosistem Move

Kehadiran bahasa Move memberikan cara baru dalam pemrograman kontrak pintar di ekosistem blockchain, terutama diterapkan pada blockchain seperti Aptos dan Sui. Desain bahasa Move bertujuan untuk memprioritaskan keamanan, dengan manajemen sumber daya, sistem tipe statis, dan manajemen memori untuk mencegah kerentanan umum. Namun, seiring dengan perluasan ekosistem, Move masih perlu memperhatikan bidang keamanan tertentu:

Manajemen sumber daya dan konsistensi status: Tipe sumber daya unik yang dimiliki Move memungkinkan pengembang untuk secara jelas mengelola kepemilikan aset dalam kontrak, meskipun ini mengurangi risiko kehilangan aset atau serangan reentrancy, logika transfer dan manajemen sumber daya yang kompleks dapat membawa kesalahan baru. Memastikan efektivitas manajemen siklus hidup sumber daya dan menghindari kerentanan transfer sumber daya adalah kunci.

Kontrol akses dan manajemen akses: Pengembangan modular di ekosistem Move memudahkan penggunaan kembali komponen, tetapi kontrol akses modul sangat penting. Pengembang harus secara ketat membatasi izin untuk operasi sensitif, memastikan bahwa fungsi modul dan tingkat aksesnya adalah wajar, serta menghindari penyerang memanfaatkan modul kontrak dengan izin tinggi untuk melakukan operasi.

Audit keamanan dan verifikasi kode: Kompleksitas kode Move meningkatkan kesulitan audit, memerlukan audit keamanan yang berkelanjutan dan verifikasi formal untuk memastikan kode tidak mengandung overflow, kesalahan logika, dan risiko umum lainnya. Proses audit yang terstandarisasi dan penelusuran kode secara berkala membantu memastikan keamanan jangka panjang ekosistem Move.

Akhirnya, kami menyimpulkan bahwa peluncuran bahasa pemrograman Move menandai revolusi besar di bidang kontrak pintar blockchain. Model manajemen sumber daya yang unik, desain yang mengutamakan keamanan, dan metode pengembangan modularnya menyelesaikan banyak kendala yang dihadapi bahasa kontrak pintar tradisional dalam hal kinerja, keamanan, dan fleksibilitas. Dengan menganggap aset sebagai sumber daya yang tidak dapat diduplikasi atau dihancurkan, Move secara efektif menghindari masalah keamanan umum seperti pembayaran ganda; pada saat yang sama, realisasi desain modular memungkinkan pengembang untuk lebih efisien dalam menggunakan kembali kode dan mengurangi kompleksitas. Di blockchain berbasis bahasa Move seperti Aptos dan Sui, mesin eksekusi paralel yang inovatif, desain berpusat pada objek, dan teknologi skala horizontal memberikan kinerja tinggi dan skalabilitas yang belum pernah ada sebelumnya untuk blockchain. Semua ini menandakan bahwa ekosistem Move secara teknis sedang menuju puncak baru dalam perkembangan blockchain.

Namun, seiring dengan ekspansi cepat ekosistem Move, masalah keamanan mulai muncul. Dua insiden keamanan kunci yang terjadi pada tahun 2023 dan 2024—kerentanan rekursi tak terbatas dan kerentanan DoS memori pool—mengungkapkan keseimbangan yang rumit antara kompleksitas dan keamanan dalam sistem blockchain. Meskipun demikian, ekosistem Move menunjukkan kemampuan respons yang efisien terhadap tantangan keamanan melalui perbaikan kerentanan yang cepat, penguatan manajemen izin, dan kemajuan verifikasi kode. Sebagai perusahaan audit keamanan berpengalaman di industri, BitsLab selalu berkomitmen untuk menyediakan perlindungan keamanan yang komprehensif, menjaga pengembangan sehat ekosistem Move dan industri blockchain, serta memastikan bahwa inovasi teknis dan perlindungan keamanan dapat berjalan beriringan, mendorong evolusi masa depan teknologi blockchain.

Untuk membaca semua laporan kami, silakan klik:

https://bitslab.xyz/reports-page

Tentang BitsLab

BitsLab adalah organisasi keamanan yang berkomitmen untuk melindungi dan membangun ekosistem Web3 yang baru muncul, dengan visi untuk menjadi lembaga keamanan Web3 yang dihormati oleh industri dan pengguna. Memiliki tiga sub-merek: MoveBit, ScaleBit, dan TonBit. BitsLab fokus pada pengembangan infrastruktur dan audit keamanan untuk ekosistem yang baru muncul, mencakup tetapi tidak terbatas pada Sui, Aptos, TON, Linea, BNB Chain, Soneium, Starknet, Movement, Monad, Internet Computer, dan Solana. Selain itu, BitsLab menunjukkan kemampuan profesional yang mendalam dalam mengaudit berbagai bahasa pemrograman, termasuk Circom, Halo2, Move, Cairo, Tact, FunC, Vyper, dan Solidity.

Sebagai pemimpin di bidang keamanan blockchain, BitsLab telah menyediakan layanan audit keamanan untuk banyak proyek flagship seperti Movement, Aptos Framework, Catizen, Synthetix, Tether, Cetus, UniSat, Nervos CKB, iZUMI Finance, dan Pontem. Hingga saat ini, BitsLab telah menyerahkan lebih dari 400 solusi keamanan, melakukan audit terhadap 400.000 baris kode, melindungi aset senilai lebih dari 8 miliar dolar, dan memberikan jaminan keamanan kepada lebih dari 2 juta pengguna di seluruh dunia. Prestasi ini mencerminkan komitmen BitsLab terhadap layanan audit berkualitas tinggi dan menetapkan standar keamanan di industri blockchain.

Selain itu, tim BitsLab mengumpulkan beberapa ahli penelitian kerentanan terkemuka, yang telah beberapa kali meraih penghargaan CTF internasional dan menemukan kerentanan kunci di proyek-proyek terkenal seperti TON, Aptos, Sui, Nervos, OKX, dan Cosmos. BitsLab akan terus fokus pada bidang keamanan Web3 untuk mendukung perkembangan sehat ekosistem yang baru muncul.