比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 波場 > Info

安全移動_TOS

Author:

Time:1900/1/1 0:00:00

作者:AptosLabsandOtterSec

AptosNetwork使用Move智能合約語言作為底層編程模型。雖然Move是為安全智能合約的生態系統而設計的,但Move本身的錯誤實施可能會危及這些屬性。在AptosLabs,我們致力于與社區一起使Move盡可能安全。

我們都在投資于編寫正確智能合約的工具,以及Move虛擬機等運行時核心組件的正確性。在本文中,我們描述了我們如何與我們的合作伙伴一起通過審計、錯誤賞金、模糊測試和底層實現的安全強化來實現后者。

我們要保護什么?

Move的安全性基于一些基本屬性。這些屬性是根據Move執行引擎使用的字節碼定義的,并且獨立于源語言:

DYDX關于關閉現有安全質押模塊提案已通過:11月26日消息,DYDX關于關閉現有安全質押模塊 (SSM)提案DIP 17已獲得通過,此前dYdX安全質押模塊允許用戶質押DYDX,在協議出現流動性短缺事件的情況下提供保險能力,該模塊將被關閉。分配給安全質押模塊的剩余獎勵將不會分配,而是累積在獎勵金庫中,獎勵金庫可以由社區支配。

目前分配給 DYDX 質押者的 383,562 個 DYDX 將累積在獎勵金庫中。dYdX 社區可以根據短時間鎖定的要求,通過投票將 DYDX 從獎勵金庫中重新定向。此外如果有需要,可以提交額外的提案,將 DYDX 轉回社區財庫。

團隊研究表明,SSM不是一種有效的保險基金,因為削減 SSM 的實際難度,以及由于市場蔓延和缺乏流動性,DYDX Token 在出現流動性短缺事件時的售價要更低。[2022/11/27 20:57:00]

類型安全:每個值都有一個唯一且不可偽造的類型。例如,不可能獲取類型為“address”的某些值并將其轉換為類型為“signer”的安全相關令牌。

安全團隊:SHIDAO 確認跑路,$ShiD跌幅已逾80%:金色財經消息,據CertiK安全團隊監測,SHIDAO 確認跑路,$ShiD跌幅已逾80%。經初步分析,目前損失金額已達16.5至19萬美元。代幣地址:0xc59D46Ce32D8652536b5aE96DED0242E04923FD6。[2022/5/26 3:43:04]

模塊化封裝:存儲中的資源只能通過聲明這些資源的模塊內的代碼進行操作。只有具有匹配可見性的函數才能稱為跨模塊。

所有權和生命周期:Move的能力系統強制不復制、刪除、存儲或用作鍵,除非為值類型聲明了相應的能力。

引用安全:引用不會比它們指向的值長壽。可變引用是專有的,因此不可能使用別名。

安全機構:初步分析顯示Beanstalk Farms損失約為1.82億美元:金色財經消息,安全機構派盾在推特上表示,其初步分析顯示,Beanstalk Farms的損失約為1.82億美元,包括79,238,241 BEAN3CRV-f、1,637,956 BEANLUSD-f、36,084,584 BEAN和0.54 UNI-V2_WETH_BEAN。

此前消息,算法穩定幣項目Beanstalk Farms遭黑客攻擊,黑客獲利超過8000萬美元(協議損失可能更多),包括24830枚ETH和3600萬枚BEAN。[2022/4/18 14:30:00]

Move虛擬機的傳統架構將上述屬性的驗證委托給驗證器,如下圖所示:

“強網杯”全國網絡安全挑戰賽賽題內容涉及區塊鏈:近日,由中央網信辦、河南省人民政府聯合指導的第四屆“強網杯”全國網絡安全挑戰賽線上賽落幕。本次線上賽賽題內容涉及區塊鏈、IOT、Windows等多個方向。同時結合Windows漏洞利用、區塊鏈以太坊、IPFS、虛擬機逃逸、數據庫等眾多新興技術領域,全面強化參賽人員在新基建背景下應對更多風險的安全防御水平,提高安全應急處置能力,讓網絡安全系統具有“主動免疫力”。(經濟參考報)[2020/8/27]

以下是我們感興趣的問題:字節碼驗證器是否完整,是否保證每個程序都滿足上述所有屬性?這很重要,因為違反上述任何屬性都可能導致資產損失。給定的Move字節碼程序會使執行引擎崩潰嗎?因為在復制狀態機中,所有節點都執行相同的程序,這可以用來停止網絡。給定的程序是否會導致執行引擎耗盡資源?這可以被用來進行DoS攻擊,從而減慢或暫停網絡。

我們是怎么做到的?

開發無錯誤代碼的核心是嚴格的軟件工程實踐與正確的工具相結合。在Aptos,我們遵循嚴格的強制代碼審查和持續測試與集成流程,并結合Rust生態系統的最佳實踐。除了這些傳統方面之外,我們還采用以下措施來確保Move的安全性符合其設計要求。

審計和咨詢

業內最受推崇的衡量區塊鏈網絡信心的措施之一是審計。在AptosLabs,我們與Certik和Halborn簽訂了審計Move虛擬機的合同。發現了多個關鍵問題,其中之一屬于類型安全類別。

除了外部審計外,AptosLabs還領導并組織了社區審計工作,重點是字節碼驗證器。來自MystenLabs、Starcoin以及MoveBit和OtterSec等審計公司的工程師與Aptos工程師合作完成這項工作,投入了大約6人周的審計時間。此電子表格中捕獲了此結果,參考了在此審計期間創建的數十個文檔。在Aptos進入主網之前,這項審計工作發現并解決了多個問題。

最后但同樣重要的是,我們與OtterSec有著密切的合作。OtterSec團隊執行了手動代碼審查并為各種目標開發了模糊測試技術,確定了MoveVM和Aptos框架代碼中的多個關鍵問題。他們還帶頭努力向MoveVM添加冗余的縱深防御邏輯,影響我們正在進行的設計工作,以減輕進一步的資金損失漏洞。

BugBounty

AptosLabs運行一個漏洞賞金計劃。對于可能導致資產損失的嚴重錯誤,提供高達1,000,000美元的賞金。同樣,崩潰錯誤最高可獲得100,000美元的獎勵。

通過賞金計劃,我們與一群才華橫溢的安全研究人員密切合作,以查找和修復漏洞。其中一些錯誤屬于嚴重類別,而其他錯誤是通過使用模糊器發現的崩潰。

AptosLabs履行了其在漏洞賞金方面的承諾,并支付了可觀的賞金。此外,AptosLabs繼續利用我們通過賞金計劃遇到的白帽專家的專業知識,并打算繼續與這個社區合作。

模糊測試

賞金計劃促使我們自己投資AptosLabs的模糊測試。MoveVM代碼已被修改以在相關點實現“Arbitrary”Rust模糊測試特性,從而允許使用“cargofuzz”來動態生成和驗證字節碼模塊。我們有一些連續的工作在運行這些模糊測試目標。

冗余

實現額外安全保證的一種方法是通過冗余。我們向MoveVM添加了一種所謂的偏執模式,它在執行時強制執行類型安全和上述其他規則。雖然字節碼驗證器在代碼進入系統時已經檢查了這些屬性,但偏執狂模式會在字節碼執行期間再次驗證相同的檢查。偏執模式在Move社區內得到了廣泛討論,Aptos工程師領導了設計。有關更多信息,請參閱此PR和此PR。下一步是什么?

在AptosLabs,我們致力于使Move盡可能安全,并在該領域投入了大量資金。在這里,我們描述了我們和我們的合作伙伴圍繞審計、漏洞賞金、模糊測試和強化所做的持續努力。展望未來,我們計劃繼續投資這個領域。我們將繼續提供漏洞賞金計劃,與信譽良好的安全審計師合作,并推動安全強化工具的開發,例如模糊測試技術。

Tags:MOVEMOVTOSAPTmove幣怎么停了MOVE Networkelastos幣怎么買aptos幣價最高

波場
比特幣斬獲300余點 以太坊止盈6個點(激進的幣友我們繼續見證420位的突破)_ENT

比特幣斬獲300余點以太坊止盈6個點比特幣:昨晚凌晨左右給出大餅13040附近分批多單入場,目標13280附近,止損12980.截至目前最高點位來到13350.多單思路清晰.

1900/1/1 0:00:00
以太坊的上海升級對 Liquid Staking 代幣 (LST) 意味著什么?_STA

作者:Ankr 隨著4月份以太坊上海更新的臨近,加密社區和媒體一直期待著向LiquidStaking代幣或“LST”的轉變,而不是在各種平臺上進行傳統的Staking.

1900/1/1 0:00:00
幣汐柔:10.25比特幣以太坊多空對峙暴漲暴跌晚間操作建議分享_MAC

  幣汐柔:10.25比特幣以太坊多空對峙暴漲暴跌晚間操作建議分享      走過的是時間,看過的是行情,嘗過的是盈與虧,回味的是得與失,沉淀的是經驗,成就的是境界,苦辣酸甜感慨萬千.

1900/1/1 0:00:00
火星一線 | 一周內TVL增超6000萬美元,悄然生長的BarnBridge究竟是什么?_BRI

文|梁雨山 火星財經APP一線10月26日報道,風險分級衍生品協議BarnBridge宣布鏈上總鎖倉量突破2.1億美元.

1900/1/1 0:00:00
丁君羨:比特幣刷新年內新高 以太坊靜候獨立行情_NAP

  當前比特幣閃電網絡節點數為14251個,過去30天內增加2.26%;通道數量為35556個,過去30天內下降4.01%;網絡容量下降至1037.59個BTC,過去30天內下降6.58%.

1900/1/1 0:00:00
以太坊 2.0 信標鏈如何提升性能?簡析委員會機制與證明信息_ION

原文標題:《ETH2.0信標鏈上線在即,這些重點你必須知道》 撰文:OKEx 據Cryptopotato消息,ETH2.0開發人員BenEdgington表示.

1900/1/1 0:00:00
ads