加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > USDT > Info

安全移動_MOV:Velociraptor Athena

Author:

Time:1900/1/1 0:00:00

作者:AptosLabsandOtterSec

AptosNetwork使用Move智能合約語言作為底層編程模型。雖然Move是為安全智能合約的生態系統而設計的,但Move本身的錯誤實施可能會危及這些屬性。在AptosLabs,我們致力于與社區一起使Move盡可能安全。

我們都在投資于編寫正確智能合約的工具,以及Move虛擬機等運行時核心組件的正確性。在本文中,我們描述了我們如何與我們的合作伙伴一起通過審計、錯誤賞金、模糊測試和底層實現的安全強化來實現后者。

我們要保護什么?

Move的安全性基于一些基本屬性。這些屬性是根據Move執行引擎使用的字節碼定義的,并且獨立于源語言:

中鈔張一鋒:應重視區塊鏈安全性與易用性間的平衡:近日,在商用密碼與區塊鏈應用專題研討會上,中鈔區塊鏈技術研究院院長張一鋒表示,進一步全方位推進區塊鏈技術的深入安全應用,需要有業務流程再造的勇氣和透視流程再造價值的慧眼,同時應當重視安全性與易用性之間的平衡,加強自主核心算法的研發,加快區塊鏈技術與物聯網、云計算、人工智能等其他數字技術的融合應用,并且要從新一代數字基礎設施的高度來推動區塊鏈公共平臺建設。(經濟參考報)[2020/10/22]

類型安全:每個值都有一個唯一且不可偽造的類型。例如,不可能獲取類型為“address”的某些值并將其轉換為類型為“signer”的安全相關令牌。

模塊化封裝:存儲中的資源只能通過聲明這些資源的模塊內的代碼進行操作。只有具有匹配可見性的函數才能稱為跨模塊。

庫幣安全事件更新:約1020萬美元KAI已通過合約升級追回:KardiaChain發布推特稱,針對在庫幣安全事件中被黑客盜取的KAI資產,團隊已完成2976個錢包中的代幣合約升級,追回了524,948,751個KAI,價值約1020萬美元。[2020/9/27]

所有權和生命周期:Move的能力系統強制不復制、刪除、存儲或用作鍵,除非為值類型聲明了相應的能力。

引用安全:引用不會比它們指向的值長壽。可變引用是專有的,因此不可能使用別名。

Move虛擬機的傳統架構將上述屬性的驗證委托給驗證器,如下圖所示:

以下是我們感興趣的問題:字節碼驗證器是否完整,是否保證每個程序都滿足上述所有屬性?這很重要,因為違反上述任何屬性都可能導致資產損失。給定的Move字節碼程序會使執行引擎崩潰嗎?因為在復制狀態機中,所有節點都執行相同的程序,這可以用來停止網絡。給定的程序是否會導致執行引擎耗盡資源?這可以被用來進行DoS攻擊,從而減慢或暫停網絡。

分析 | 攻擊者控制了 GateHub 數據庫里的部分賬號 API 權限,不過用戶私鑰是安全的:慢霧安全團隊通過鏈上行為分析可以得知:攻擊者最早于 05/29/2019 12:14 UTC 時間通過 CoinPayments 創建并激活了攻擊者的第一個“攻擊者賬號”(rN5Gm1FijbTVeYFfpTRfGKfNZQY7hc9TbN),攻擊者在 05/30/2019 12:23 UTC 時間攻擊 GateHub 第一個賬號(控制了這個賬號的有關權限),并通過這個被攻擊的賬號創建并激活了第二個“攻擊者賬號”(r9do2Ar8k64NxgLD6oJoywaxQhUS57Ck8k),之后第二個“攻擊者賬號”還創建并激活了第三個“攻擊者賬號”(rpBDxqWArAQTEfPeWwkUvBh1cbc885nirX),之后攻擊者攻擊了 GateHub 至少 103 個賬號,最后一次攻擊時間是 06/01/2019 18:40 UTC 時間,并通過這三個“攻擊者賬號”完成洗幣操作。慢霧安全團隊通過相關分析推測攻擊者至少是控制了 GateHub 數據庫里的部分賬號 API 權限,不過用戶私鑰是安全的。攻擊持續三天多的時間才被阻止,該平臺的用戶應立即轉移資產并更新賬號相關權限。[2019/6/8]

我們是怎么做到的?

VeChainThor運用DDV模式讓數據傳輸更安全可控:區塊鏈初創公司VeChainThor,在其最新的更新中在一次強調其用RFID(無線射頻識別)技術幫助更好地鑒別假冒產品,該公司通過引入分散數據販售Distributed Data Vending (DDV)這一模式,讓用戶在區塊鏈上更安全地控制賣給商家的數據。傳統模式下,商家通過推薦定制化產品和差異化廣告盈利,用戶的數據被收集并轉化為商家的私有資產,DDV可以使用戶數據的分享代幣化,因為數據來源于用戶,所以用戶可以主張其帶來的權益,目前該程序正在測試中。[2018/3/29]

開發無錯誤代碼的核心是嚴格的軟件工程實踐與正確的工具相結合。在Aptos,我們遵循嚴格的強制代碼審查和持續測試與集成流程,并結合Rust生態系統的最佳實踐。除了這些傳統方面之外,我們還采用以下措施來確保Move的安全性符合其設計要求。

審計和咨詢

業內最受推崇的衡量區塊鏈網絡信心的措施之一是審計。在AptosLabs,我們與Certik和Halborn簽訂了審計Move虛擬機的合同。發現了多個關鍵問題,其中之一屬于類型安全類別。

除了外部審計外,AptosLabs還領導并組織了社區審計工作,重點是字節碼驗證器。來自MystenLabs、Starcoin以及MoveBit和OtterSec等審計公司的工程師與Aptos工程師合作完成這項工作,投入了大約6人周的審計時間。此電子表格中捕獲了此結果,參考了在此審計期間創建的數十個文檔。在Aptos進入主網之前,這項審計工作發現并解決了多個問題。

最后但同樣重要的是,我們與OtterSec有著密切的合作。OtterSec團隊執行了手動代碼審查并為各種目標開發了模糊測試技術,確定了MoveVM和Aptos框架代碼中的多個關鍵問題。他們還帶頭努力向MoveVM添加冗余的縱深防御邏輯,影響我們正在進行的設計工作,以減輕進一步的資金損失漏洞。

BugBounty

AptosLabs運行一個漏洞賞金計劃。對于可能導致資產損失的嚴重錯誤,提供高達1,000,000美元的賞金。同樣,崩潰錯誤最高可獲得100,000美元的獎勵。

通過賞金計劃,我們與一群才華橫溢的安全研究人員密切合作,以查找和修復漏洞。其中一些錯誤屬于嚴重類別,而其他錯誤是通過使用模糊器發現的崩潰。

AptosLabs履行了其在漏洞賞金方面的承諾,并支付了可觀的賞金。此外,AptosLabs繼續利用我們通過賞金計劃遇到的白帽專家的專業知識,并打算繼續與這個社區合作。

模糊測試

賞金計劃促使我們自己投資AptosLabs的模糊測試。MoveVM代碼已被修改以在相關點實現“Arbitrary”Rust模糊測試特性,從而允許使用“cargofuzz”來動態生成和驗證字節碼模塊。我們有一些連續的工作在運行這些模糊測試目標。

冗余

實現額外安全保證的一種方法是通過冗余。我們向MoveVM添加了一種所謂的偏執模式,它在執行時強制執行類型安全和上述其他規則。雖然字節碼驗證器在代碼進入系統時已經檢查了這些屬性,但偏執狂模式會在字節碼執行期間再次驗證相同的檢查。偏執模式在Move社區內得到了廣泛討論,Aptos工程師領導了設計。有關更多信息,請參閱此PR和此PR。下一步是什么?

在AptosLabs,我們致力于使Move盡可能安全,并在該領域投入了大量資金。在這里,我們描述了我們和我們的合作伙伴圍繞審計、漏洞賞金、模糊測試和強化所做的持續努力。展望未來,我們計劃繼續投資這個領域。我們將繼續提供漏洞賞金計劃,與信譽良好的安全審計師合作,并推動安全強化工具的開發,例如模糊測試技術。

Tags:MOVMOVETOSAPTMOVDmovez幣最新消息stratos幣挖礦Velociraptor Athena

USDT
以太坊多單策略 止盈6個點_YGG:CKT

以太坊多單策略止盈6個點午間給出以太坊回踩多單策略:410-412附近分批多單入場,目標416-419附近,止損407.直到午后15點30左右.

1900/1/1 0:00:00
五哥說幣:比特幣10.25行情及策略分析_BAY:MUCNFT價格

比特幣行情分析: 日線級別來看,布林帶開口持續向上,昨日價格也是一個陽線結尾,行情延布林帶上軌不斷向上試探,價格是再次脫離布林帶范圍,日內雖然上行力度不強,但支撐在緩慢上移,各均線上攻姿態明顯.

1900/1/1 0:00:00
老A言幣 :10/26ETH-BTC午間行情分析及操作建議_比特幣:USD

--前言 還很年輕,將來會遇到很多人,經歷很多事,得到得多,也失去很多,但無論如何,有兩樣東西,絕對不能丟棄,一個叫良心,一個叫理想.

1900/1/1 0:00:00
http://auto.sohu.com/20201024/n5423056756756435660845.shtml

http://news.sohu.com/20201024/n542300267.shtmlhttp://business.sohu.com/20201024/n542300267.

1900/1/1 0:00:00
周末市場觀察:加密貨幣周末停滯,比特幣暫時停止在了13000美元!_比特幣:LUNA

在迅速跌至12,720美元后,比特幣繼續在13,000美元的水平上掙扎。除了Chainlink以外,大多數大盤山寨幣都失去了一些價值,Chainlink一直向北發展.

1900/1/1 0:00:00
游子:BTC連續突破13000多頭繼續強勢?_DYDX:gdao幣前景

BTC行情分析: 短期看的話,大餅有修復拉升后各項指標需求的。暫時較難出現大的走勢出來,下方12600-12500一線的支撐是構筑繼續反彈的第一防守位.近幾日只要守住第一支撐,后市繼續看漲,既然.

1900/1/1 0:00:00
ads