Move語言引用安全漏洞深度剖析

近期，我們在對Aptos Moveevm進行深入研究時，發現了一個新的整數溢出漏洞。這個漏洞的觸發過程相當有趣，下面我們將對其進行深入分析，並介紹相關的Move語言背景知識。通過本文的講解，相信讀者能夠對Move語言有更深入的理解。

Move語言在執行字節碼之前會進行代碼單元驗證，這個過程分爲4個步驟。本文討論的漏洞出現在reference_safety步驟中。

reference_safety模塊定義了用於驗證過程主體的引用安全性的轉移函數。它主要檢查是否存在懸空引用、可變引用訪問是否安全、全局存儲引用訪問是否安全等問題。

驗證過程從引用安全驗證入口函數開始，該函數會調用analyze_function。在analyze_function中，會對每個基本塊進行驗證。基本塊是一個代碼序列，除了入口和出口外沒有分支指令。

Move語言通過遍歷字節碼、查找所有分支指令和循環指令序列來識別基本塊。一個典型的Move IR代碼基本塊示例可能包含3個基本塊，分別由BrTrue、Branch和Ret指令確定。

Move語言支持兩種類型的引用：不可變引用(&)和可變引用(&mut)。不可變引用用於讀取數據，可變引用用於修改數據。這種設計有助於維護代碼安全性並識別讀取模塊。

引用安全驗證的主要流程包括：掃描函數中基本塊的字節碼指令，判斷所有引用操作是否合法。這個過程使用AbstractState結構體，它包含borrow graph和locals，用於確保函數中的引用安全性。

驗證過程中會執行基本塊代碼，生成post state，然後將pre state和post state合並以更新塊狀態，並將該塊的後置條件傳播到後續塊。這個過程類似於V8 turbofan中的Sea of Nodes思想。

漏洞出現在join_函數中。當參數長度和局部變量長度之和大於256時，由於local是u8類型，會發生整數溢出。雖然Move有校驗locals個數的過程，但在check bounds模塊中只校驗了locals，沒有包括參數length。

這個整數溢出漏洞可能導致DoS攻擊。通過制造一個循環代碼塊並利用溢出改變塊的state，可以使新的locals map與之前不同。當再次執行execute_block函數時，如果指令需要訪問的索引在新的AbstractState locals map中不存在，就會導致DoS。

我們發現在reference safety模塊中，MoveLoc/CopyLoc/FreeRef操作碼可以實現這個目標。以copy_loc函數爲例，如果LocalIndex不存在會導致panic，從而使整個節點崩潰。

爲了驗證這個漏洞，我們編寫了一個PoC。這個PoC中的代碼塊包含一個無條件分支指令，每次執行最後一條指令時都會跳回第一條指令，因此這個代碼塊將多次調用execute_block和join函數。

通過設置適當的參數，我們可以使新的locals map長度變爲8。在第二次執行execute_block函數時，由於locals長度不足，會導致panic。

這個漏洞提醒我們，即使是像Move這樣強調安全性的語言也可能存在漏洞。我們建議Move語言設計者在運行時增加更多的檢查代碼，以防止意外情況發生。目前Move語言主要在verify階段進行安全檢查，但這可能還不夠。一旦驗證被繞過，如果運行階段沒有足夠的安全加固，可能會導致更嚴重的問題。

作爲Move語言安全研究的領導者，我們將繼續深入研究Move的安全問題，並在未來分享更多發現。