Move programmēšanas valoda ar savu unikālo resursu pārvaldības dizainu, drošības prioritātes arhitektūru un modulāro izstrādes modeli ir radījusi revolucionāras pārmaiņas blokķēdes viedlīgumu jomā. Uz tās pamata jaunās publiskās ķēdes ar paralēlo izpildi, objektu centrālo dizainu un horizontālo paplašināšanu ir panākušas augstas veiktspējas un paplašināmības pārvarēšanu. Tomēr, attīstoties Move ekosistēmai, tās drošība saskaras ar reālu lietošanas izaicinājumiem. 2023. un 2024. gadā atklātie noraidīšanas pakalpojumu ievainojumi un citi jautājumi atklāj līdzsvara grūtības starp sarežģītību un drošību blokķēdes sistēmās. Ar savlaicīgu ievainojumu labošanu, tiesību pārvaldības pastiprināšanu un koda validācijas veicināšanu, Move ekosistēma pakāpeniski veido tehnoloģisko inovāciju un drošību līdzvērtīgu blokķēdes attīstības modeli, nodrošinot pamatu nākotnes blokķēdes tehnoloģiju attīstībai.
Move programmēšanas valoda: blokķēdes viedlīgumu revolūcijas spēks
Pirms padziļināti aplūkojam Move ekosistēmā konkrētas tehnoloģiskās inovācijas, mums vispirms jāizprot šīs ekosistēmas pamats - Move programmēšanas valoda. Kā revolūcijas spēks blokķēdes viedlīgumu izstrādē, Move ne tikai pārraksta resursu pārvaldības un modulārās izstrādes iespējas, bet arī ar savu drošības prioritātes dizaina ideju nodrošina stabilu tehnoloģisko atbalstu saistītajiem publisko ķēžu projektiem ekosistēmā. Nākamajā solī mēs sīki analizēsim Move valodas unikālās priekšrocības un to, kā saistītās publiskās ķēdes un projekti, izmantojot inovatīvu viedlīgumu arhitektūru, spēj veiksmīgi parādīt Move ekosistēmas milzīgo potenciālu.
Move valoda sākotnēji tika izstrādāta Facebook (tagad Meta) Diem (Libra) projektam, lai atrisinātu tradicionālo viedlīgumu valodu veiktspējas un drošības ierobežojumus. Move dizains uzsver resursu skaidrību un drošību, nodrošinot, ka katra stāvokļa izmaiņa blokķēdē ir kontrolējama. Šai inovatīvajai programmēšanas valodai ir šādas izteiktas priekšrocības:
Resursu pārvaldības modelis: Move uzskata aktīvus par resursiem, padarot tos nekopējamus vai neiznīcināmus. Šis unikālais resursu pārvaldības modelis novērš viedlīgumu parastās divkāršās maksāšanas vai nejaušas aktīvu iznīcināšanas problēmas.
Modulārais dizains: Move ļauj viedlīgumiem tikt veidotiem modulārā veidā, palielinot koda atkārtotu izmantošanu un samazinot izstrādes sarežģītību.
Augsta drošība: Move valodā ir iebūvēti daudzi drošības pārbaudes mehānismi, lai novērstu parastās drošības ievainojamības, piemēram, atkārtotas iejaukšanās uzbrukumus.
Kopsavilkumā, Move programmēšanas valoda ar savu inovatīvo dizaina ideju un spēcīgajām tehnoloģiskajām priekšrocībām ir noteikusi jaunu standartu blokķēdes viedlīgumu izstrādē. Uzskatot aktīvus par nekopējamiem vai neiznīcināmiem resursiem, Move būtiski uzlaboja resursu pārvaldības drošību; tās modulārā dizaina pieeja nodrošina izstrādātājiem lielāku elastību un izstrādes efektivitāti. Tajā pašā laikā iebūvētie daudzveidīgie drošības pārbaudes mehānismi efektīvi novērš parastās viedlīgumu ievainojamības. Šīs īpašības ne tikai atrisina tradicionālo viedlīgumu valodu veiktspējas un drošības problēmas, bet arī sniedz tehnisko pamatu saistītajām jaunajām publiskajām ķēdēm, veicinot augstu efektivitāti un drošu attīstību blokķēdes ekosistēmā.
Drošības incidenti Move ekosistēmā
Attīstoties Move ekosistēmai, tai paralēli tehnoloģiskajām inovācijām ir jāsaskaras ar daudziem drošības izaicinājumiem. No virtuālās mašīnas pamatizstrādes līdz konkrētām tīkla darbības mehānikām, drošības jautājumi kļūst par svarīgu faktoru ekosistēmas stabilai attīstībai. Pēdējos gados Move ekosistēmā notikušas divas būtiskas drošības incidenti - 2023. gada bezgalīgā rekursija un 2024. gada atmiņu baseina DoS ievainojamība, kas ne tikai atklāja sistēmas potenciālos riskus, bet arī uzsvēra drošības pētījumu un ievainojamību labošanas nozīmīgumu ekosistēmā. Izstrādātāju un trešo pušu drošības institūciju cieša sadarbība ļāva šos jautājumus ātri atrisināt, nodrošinot drošu pamatu Move ekosistēmas turpmākai attīstībai.
Attēla avots:
https://www.bankless.com/sui-vs-aptos
Konkrēti drošības incidentu detaļas ir šādas:
2023. gada jūnijā Move virtuālajā mašīnā tika atklāta nopietna noraidīšanas pakalpojumu ievainojamība, kas varēja izraisīt Sui, Aptos un citu publisko ķēžu sabrukumu, pat varētu izraisīt cieto dakšu. Drošības pētnieks poetyellow, atklājot šo ievainojamību, publicēja attiecīgās detaļas. Tomēr Move virtuālās mašīnas izstrādes komanda jau iepriekš bija neatkarīgi atklājusi šo ievainojamību un veltījusi vairāk nekā mēnesi šīs ievainojamības novēršanai.
Šīs ievainojamības veids ir bezgalīgā rekursija. Programmēšanas valodās funkciju bezgalīga rekursīvā izsaukšana izraisa steka pārpildījumu, kas ir vispārējs DoS ievainojamības veids, no kura pat drošā Rust valoda nevar izvairīties.
2024. gada septembrī MoveBit veiksmīgi atklāja un palīdzēja novērst Aptos tīklā esošo atmiņu baseina DoS ievainojamību, kas tika klasificēta kā augsta. Šī ievainojamība dēļ nepilnīgās atmiņu baseina darījumu izraidīšanas mehānikas varēja novest pie tam, ka līdz pat 90% normālo darījumu tika noraidīti no mezgliem. Aptos komanda jau ir novērsusi šo ievainojamību v1.19.1 versijā un pateikusies MoveBit par ieguldījumu oficiālajā paziņojumā.
No bezgalīgās rekursijas ievainojuma līdz atmiņu baseina DoS ievainojumam, šie drošības incidenti Move ekosistēmā atklāj potenciālās drošības problēmas tehnoloģisko inovāciju aizkulisēs, kā arī parāda ekosistēmas spēju ātri reaģēt un novērst problēmas. Tomēr drošības izaicinājumu risināšana ne tikai balstās uz viena incidenta apstrādi, bet prasa sistemātisku optimizāciju visā arhitektūrā un valodas dizainā. Nākamajā solī mēs apskatīsim Move ekosistēmas nepārtrauktu uzmanību drošības jautājumiem no resursu pārvaldības, tiesību kontroļu un koda audita dažādiem aspektiem, analizējot, kā tā atrod līdzsvaru starp tehnoloģiju attīstību un drošības aizsardzību.
Move ekosistēmas drošības novērošana
Move valodas parādīšanās nodrošina jaunu viedlīgumu programmēšanas veidu blokķēdes ekosistēmā, galvenokārt tiek izmantota Aptos un Sui u.c. publiskajās ķēdēs. Move valodas dizains sākotnēji ir balstīts uz drošību, izmantojot tās resursu pārvaldību, statisko tipu sistēmu un atmiņas pārvaldību, lai novērstu parastas ievainojamības. Tomēr, attīstoties ekosistēmai, Move joprojām ir jāpievērš uzmanība konkrētām drošības jomām:
Resursu pārvaldība un stāvokļa konsekvence: Move unikālais resursu veids ļauj izstrādātājiem skaidri pārvaldīt aktīvu īpašumtiesības līgumā, kas samazina aktīvu zuduma vai atkārtotas iejaukšanās uzbrukumu risku, taču sarežģītā resursu pārsūtīšanas un pārvaldības loģika var radīt jaunas kļūdas. Resursu dzīves cikla pārvaldības efektivitātes nodrošināšana un resursu pārsūtīšanas ievainojamību novēršana ir būtiska.
Tiesību kontrole un piekļuves pārvaldība: Move ekosistēmas modulārā attīstība atvieglo komponentu atkārtotu izmantošanu, taču moduļu piekļuves tiesību kontrole ir ārkārtīgi svarīga. Izstrādātājiem ir stingri jāierobežo jutīgu operāciju piekļuves tiesības, lai nodrošinātu moduļu funkcionalitātes un piekļuves līmeņu atbilstību, novēršot uzbrucēju iespēju izmantot augstas tiesību līmeņa līgumu moduļus.
Drošības audits un koda validācija: Move koda sarežģītība palielina audita grūtības, nepieciešams nepārtraukti veikt drošības auditus un formālu validāciju, lai nodrošinātu, ka kodā nav pārsniegumu, loģikas kļūdu un citu parastu risku. Standardizēts audita process un regulāra koda atpakaļsakošana palīdz nodrošināt Move ekosistēmas ilgtermiņa drošību.
Visbeidzot, mēs secinām, ka Move programmēšanas valodas ieviešana iezīmē nozīmīgu revolūciju blokķēdes viedlīgumu jomā. Tās unikālais resursu pārvaldības modelis, drošības prioritāte dizaina idejā un modulārā attīstības pieeja risina tradicionālo viedlīgumu valodu daudzus ierobežojumus attiecībā uz veiktspēju, drošību un elastību. Uzskatot aktīvus par nekopējamiem vai neiznīcināmiem resursiem, Move efektīvi novērš divkāršās maksāšanas un citas parastas drošības problēmas; tajā pašā laikā modulārā dizaina realizācija ļauj izstrādātājiem efektīvāk atkārtoti izmantot kodu, samazinot sarežģītību. Aptos un Sui u.c. Move valodā balstītajās publiskajās ķēdēs inovatīva paralēlā izpildes dzinēja, objektu centrālā dizaina un horizontālās paplašināšanas tehnoloģijas nodrošina blokķēdei iepriekš nebijušu veiktspēju un paplašināmību. Tas viss iezīmē Move ekosistēmas tehnoloģisko virzību uz jauniem augstumiem blokķēdes attīstībā.
Tomēr, attīstoties Move ekosistēmai, drošības problēmas pakāpeniski kļūst redzamas. 2023. un 2024. gadā notikuši divi būtiski drošības incidenti - bezgalīgā rekursija un atmiņu baseina DoS ievainojamība, atklājot delikāto līdzsvaru starp sistēmas sarežģītību un drošību. Neskatoties uz to, Move ekosistēma ar savlaicīgu ievainojamību labošanas, tiesību pārvaldības pastiprināšanas un koda validācijas virzību ir demonstrējusi efektīvu spēju risināt drošības izaicinājumus. Kā pieredzējusi drošības audita kompānija, BitsLab vienmēr ir apņēmības pilna nodrošināt visaptverošu drošības aizsardzību, atbalstot Move ekosistēmas un blokķēdes nozares veselīgu attīstību, lai nodrošinātu, ka tehnoloģiskā inovācija un drošības aizsardzība var notikt paralēli, virzot blokķēdes tehnoloģijas nākotnes attīstību.
Lai lasītu mūsu visus ziņojumus, lūdzu, noklikšķiniet uz:
https://bitslab.xyz/reports-page
Par BitsLab
BitsLab ir drošības organizācija, kas veltīta jaunajām Web3 ekosistēmām, ar vīziju kļūt par cienījamu Web3 drošības iestādi nozares un lietotāju vidū. Tam ir trīs apakšzīmoli: MoveBit, ScaleBit un TonBit. BitsLab koncentrējas uz jaunajām ekosistēmām nepieciešamo infrastruktūras attīstību un drošības auditiem, aptverot, bet neaprobežojoties ar Sui, Aptos, TON, Linea, BNB Chain, Soneium, Starknet, Movement, Monad, Internet Computer un Solana ekosistēmām. Tajā pašā laikā BitsLab demonstrē dziļas profesionālās spējas dažādu programmēšanas valodu auditos, tostarp Circom, Halo2, Move, Cairo, Tact, FunC, Vyper un Solidity.
Kā blokķēdes drošības jomas līderis, BitsLab ir sniedzis drošības audita pakalpojumus Movement, Aptos Framework, Catizen, Synthetix, Tether, Cetus, UniSat, Nervos CKB, iZUMI Finance un Pontem daudziem flagmaņu projektiem. Līdz šim BitsLab ir piegādājusi vairāk nekā 400 drošības risinājumus, auditi pār 400 000 rindu koda, aizsargājusi aktīvus vērtībā vairāk nekā 8 miljardu dolāru apmērā un nodrošinājusi drošību vairāk nekā 2 miljoniem lietotāju visā pasaulē. Šie sasniegumi pilnībā atspoguļo BitsLab apņemšanos nodrošināt augstas kvalitātes audita pakalpojumus un veidot drošības standartus blokķēdes nozarē.
Turklāt BitsLab komanda apvienojusi vairākus augstākās klases ievainojamību pētījumu ekspertus, kuri vairākkārt ir saņēmuši starptautiskos CTF apbalvojumus un atklājuši kritiskas ievainojamības pazīstamos projektos, piemēram, TON, Aptos, Sui, Nervos, OKX un Cosmos. BitsLab turpinās padziļināti strādāt Web3 drošības jomā, veicinot jauniejo ekosistēmu veselīgu attīstību.
