🎉 攒成长值,抽华为Mate三折叠!广场第 1️⃣ 2️⃣ 期夏季成长值抽奖大狂欢开启!
总奖池超 $10,000+,华为Mate三折叠手机、F1红牛赛车模型、Gate限量周边、热门代币等你来抽!
立即抽奖 👉 https://www.gate.com/activities/pointprize?now_period=12
如何快速赚成长值?
1️⃣ 进入【广场】,点击头像旁标识进入【社区中心】
2️⃣ 完成发帖、评论、点赞、发言等日常任务,成长值拿不停
100%有奖,抽到赚到,大奖等你抱走,赶紧试试手气!
截止于 8月9日 24:00 (UTC+8)
详情: https://www.gate.com/announcements/article/46384
#成长值抽奖12期开启#
Move语言引用安全漏洞:整数溢出风险与防范建议
Move语言引用安全漏洞深度剖析
近期,我们在对Aptos Moveevm进行深入研究时,发现了一个新的整数溢出漏洞。这个漏洞的触发过程相当有趣,下面我们将对其进行深入分析,并介绍相关的Move语言背景知识。通过本文的讲解,相信读者能够对Move语言有更深入的理解。
Move语言在执行字节码之前会进行代码单元验证,这个过程分为4个步骤。本文讨论的漏洞出现在reference_safety步骤中。
reference_safety模块定义了用于验证过程主体的引用安全性的转移函数。它主要检查是否存在悬空引用、可变引用访问是否安全、全局存储引用访问是否安全等问题。
验证过程从引用安全验证入口函数开始,该函数会调用analyze_function。在analyze_function中,会对每个基本块进行验证。基本块是一个代码序列,除了入口和出口外没有分支指令。
Move语言通过遍历字节码、查找所有分支指令和循环指令序列来识别基本块。一个典型的Move IR代码基本块示例可能包含3个基本块,分别由BrTrue、Branch和Ret指令确定。
Move语言支持两种类型的引用:不可变引用(&)和可变引用(&mut)。不可变引用用于读取数据,可变引用用于修改数据。这种设计有助于维护代码安全性并识别读取模块。
引用安全验证的主要流程包括:扫描函数中基本块的字节码指令,判断所有引用操作是否合法。这个过程使用AbstractState结构体,它包含borrow graph和locals,用于确保函数中的引用安全性。
验证过程中会执行基本块代码,生成post state,然后将pre state和post state合并以更新块状态,并将该块的后置条件传播到后续块。这个过程类似于V8 turbofan中的Sea of Nodes思想。
漏洞出现在join_函数中。当参数长度和局部变量长度之和大于256时,由于local是u8类型,会发生整数溢出。虽然Move有校验locals个数的过程,但在check bounds模块中只校验了locals,没有包括参数length。
这个整数溢出漏洞可能导致DoS攻击。通过制造一个循环代码块并利用溢出改变块的state,可以使新的locals map与之前不同。当再次执行execute_block函数时,如果指令需要访问的索引在新的AbstractState locals map中不存在,就会导致DoS。
我们发现在reference safety模块中,MoveLoc/CopyLoc/FreeRef操作码可以实现这个目标。以copy_loc函数为例,如果LocalIndex不存在会导致panic,从而使整个节点崩溃。
为了验证这个漏洞,我们编写了一个PoC。这个PoC中的代码块包含一个无条件分支指令,每次执行最后一条指令时都会跳回第一条指令,因此这个代码块将多次调用execute_block和join函数。
通过设置适当的参数,我们可以使新的locals map长度变为8。在第二次执行execute_block函数时,由于locals长度不足,会导致panic。
这个漏洞提醒我们,即使是像Move这样强调安全性的语言也可能存在漏洞。我们建议Move语言设计者在运行时增加更多的检查代码,以防止意外情况发生。目前Move语言主要在verify阶段进行安全检查,但这可能还不够。一旦验证被绕过,如果运行阶段没有足够的安全加固,可能会导致更严重的问题。
作为Move语言安全研究的领导者,我们将继续深入研究Move的安全问题,并在未来分享更多发现。