MOVE:全球首个 Move 智能合约安全审计报告发布

作者：MoveBit

10月11日，专注Move生态的安全公司MoveBit(莫比安全)团队发布了全球首个Move智能合约安全审计报告——《StarcoinFrameworkAuditReport》。

这份审计报告是全球Move生态上的首个智能合约安全审计报告，并最早总结了基于Move构建DApp应用的安全经验，标志着Move生态安全体系建设的开始。

Move语言介绍

Move语言最早是为Meta的Diem区块链项目而开发的，现在Move语言由开源社区维护。Move语言的愿景是帮助开发人员安全、轻松、快速地构建区块链应用程序的框架，Move是为区块链而生的智能合约编程语言。

根据MystenLabs的Move语言的文档介绍，目前有4条公链已经使用Move语言，分别是Aptos、Sui、Starcoin、0LNetwork。目前Starcoin和0LNetwork已经上线主网，而Aptos、Sui还处在测试网阶段。

北信源携手安存科技 推出全球首款硬件区块链机:从北信源获悉，6月10日，北信源（300352）携手杭州安存科技，推出了一款硬件产品区块链机，深耕区块链市场。据悉，这是全球首款区块链机。与普通区块链需要专业人士通过云端部署上链不同，区块链机就像一台服务器一样，直接部署在机房或云服务器端，就能对服务器所产生的数据进行“原装”上链、存证。（证券时报）[2020/6/10]

Starcoin是一个2021年6月主网上线的以PoW为核心共识机制的Move区块链，使用增强的工作证明共识和Move语言。它通过分层和灵活的互操作性来优化DeFi、NFT、游戏等不同生态系统的构建。

StarcoinFramework是Starcoin链上的通用Move库，包括了账户、NFT、Token等通用标准，是生态建设的重要基础设施。StarcoinFramework的安全性是Starcoin上开发各种Move项目应用安全的基础。

安迪沃霍尔绘画作品将在全球首个加密货币艺术拍卖会上拍卖:6月7日，区块链平台Maecenas宣布将举办“全球首个加密货币艺术拍卖会”，并于6月20日在英国艺术馆Dadiani Syndicate出售安迪沃霍尔的绘画《14张小电动椅（14 Small Electric Chairs）》的部分所有权。该作品价值约560万美元。据悉，竞拍者可以使用比特币和以太币参与拍卖。[2018/6/7]

Move智能合约的重要概念

MoveProver:Move中内置用于智能合约的形式化验证工具叫做MoveProver，通过这个工具，你能够断言所写智能合约的特性和规范，为智能合约运行提供额外安全保障。它的基本思想是通过形式验证领域的自动定理证明求解器来验证程序是否符合某种规范(specification)。

MoveSpecification:Move自己定义了一套规范语言，它通过前提条件、后置条件、不变式等来描述程序怎么样才算正确运行。MoveSpecification可以直接在程序中插入，或者单独写成一个MoveSpecification文件。MoveSpecification常被缩写成MoveSpec。

EOS.CYBEX社区将推出全球首个支持指纹识别的EOS硬件冷钱包:据官方消息，EOS.CYBEX社区将推出全球首个支持指纹识别的EOS硬件冷钱包，用户私钥可完全由硬件真随机数源所产生且永不可读出，目前已进入测试阶段。此前，EOS.CYBEX已满分入选EOS超级节点候选人。[2018/4/9]

MoveFramework：Move语言的关键设计是能够将特定于区块链的框架逻辑与Move语言的通用功能分离。MoveFramework是链的创世状态中的内置的一组Move模块。这些模块通常实现诸如账户、Token等关键组件，一般是用于实现特定区块链的通用框架逻辑，是DApp开发的基础。

构建MoveDApp应用的安全经验

在过去的几周中，专注于Move安全生态的安全公司MoveBit与Starcoin团队进行了深入交流合作，对StarcoinFramework的每个细节进行了审计。

文联链1月8日全球首发，火热登陆R网:刚刚私募、众筹火爆秒杀的文联链又传来重大利好消息，2018年1月8日 文联链强势上线瑞士顶级交易所rfinex，这标志着文联链全球战略路线迈出重要步伐。作为全球首创联盟区块链的实际应用，文联链倍受行业关注和市场期待。[2018/1/7]

MoveBit深入研究了StarcoinFramework的代码结构，作为最早上线的MoveFramework，其中Account、Token、STC、Config、DAO、NFT、Oracle、Genesis和Block等代码功能全面，覆盖了大部分开发者的通用场景需求。基于此，MoveBit最早总结了基于Move构建DApp应用的安全经验，对以下14类风险进行了分析。

Transaction-orderingdependence

Timestampdependence

股评人认为 比特币是全球首个非中央化庞氏局:比特币（Bitcoin）价格近期飙升，惹起全球疯炒，有“股坛长毛”之称的独立股评人David Webb则质疑比特币的升势，更形容比特币是全球首个分布式、非中央化庞氏局（Ponzi scheme）。[2017/12/14]

Integeroverflow/underflow

Numberofroundingerrors

Denialofservice/logicaloversights

Accesscontrol

Centralizationofpower

logiccontradictingthespecification

Codeclones,functionalityduplication

Gasusage

Arbitrarytokenminting

UncheckedCALLReturnValues

Theflowofcapability

WitnessType

MoveBit的发现

StarcoinFramework作为Starcoin的Move标准库，包含69个Move源文件和70多个模块。在此审计工作之前，我们提前阅读了StarcoinSIP和其他开发资源。我们首先回顾了框架架构，然后主要进行了人工代码审查、测试和使用MoveProver的形式化验证。

我们一直与Starcoin团队保持密切联系，在v11版本中一共发现了21个Issue(其中Major1个，Medium4个，Minor16个)，已汇总成审计报告并对外公开。在与Starcoin团队的会议期间，我们对所有问题进行了广泛讨论。一些问题已经在后续迭代中得到修复，其他问题讲很快得到解决。除了原生函数和一些包含无法推理的特殊元素的函数外，我们为大多数函数和文件添加了形式化验证代码MoveSpecification。所有的形式化验证代码都会作为PR提交到代码仓库，最终由Starcoin团队在以后的升级和修订中合并。

审计报告链接：https://www.movebit.xyz/file/Starcoin-Framework-Audit-Report.pdf

这份审计报告是全球Move生态的第一个智能合约安全审计报告，标志着Move生态安全体系建设的开始。MoveBit将与Move社区同行，专注为Move生态的安全保驾护航。

关于Starcoin

Starcoin,主网已在2021年5月上线，是Move生态第一个无许可公链，基于最成熟的去中心化共识增强版PoW以及智能合约语言Move提供来自原力的安全，通过分层的灵活互操作性，为参与Web.3.0生态搭建的人们提供价值赋能的数字资产服务的分布式金融网络。

关于MoveBit

MoveBit(莫比安全)团队是一家服务于Move生态的安全公司，其愿景是让Move生态成为最安全的Web3生态系统。MoveBit团队由学术界安全大牛和企业界安全领军人物组成，具有10年的安全经验，在NDSS、CCS等顶级国际安全学术会议上发表安全研究成果。团队是Move生态最早期的贡献者，与Move开发者共同制定安全Move应用的标准。MoveBit已经陆续与全球多家知名交易所、公链项目合作，为合作伙伴提供安全审计服务。

标签：MOVEMOVCOINOINMOVEZGymMovdopecoinAxus Coin

币安下载热门资讯