Move语言引用安全漏洞深度剖析

近期，我们在对Aptos Moveevm进行深入研究时，发现了一个新的整数溢出漏洞。这个漏洞的触发过程相当有趣，下面我们将对其进行深入分析，并介绍相关的Move语言背景知识。通过本文的讲解，相信读者能够对Move语言有更深入的理解。

Move语言在执行字节码之前会进行代码单元验证，这个过程分为4个步骤。本文讨论的漏洞出现在reference_safety步骤中。

reference_safety模块定义了用于验证过程主体的引用安全性的转移函数。它主要检查是否存在悬空引用、可变引用访问是否安全、全局存储引用访问是否安全等问题。

验证过程从引用安全验证入口函数开始，该函数会调用analyze_function。在analyze_function中，会对每个基本块进行验证。基本块是一个代码序列，除了入口和出口外没有分支指令。

Move语言通过遍历字节码、查找所有分支指令和循环指令序列来识别基本块。一个典型的Move IR代码基本块示例可能包含3个基本块，分别由BrTrue、Branch和Ret指令确定。

Move语言支持两种类型的引用：不可变引用(&)和可变引用(&mut)。不可变引用用于读取数据，可变引用用于修改数据。这种设计有助于维护代码安全性并识别读取模块。

引用安全验证的主要流程包括：扫描函数中基本块的字节码指令，判断所有引用操作是否合法。这个过程使用AbstractState结构体，它包含borrow graph和locals，用于确保函数中的引用安全性。

验证过程中会执行基本块代码，生成post state，然后将pre state和post state合并以更新块状态，并将该块的后置条件传播到后续块。这个过程类似于V8 turbofan中的Sea of Nodes思想。

漏洞出现在join_函数中。当参数长度和局部变量长度之和大于256时，由于local是u8类型，会发生整数溢出。虽然Move有校验locals个数的过程，但在check bounds模块中只校验了locals，没有包括参数length。

这个整数溢出漏洞可能导致DoS攻击。通过制造一个循环代码块并利用溢出改变块的state，可以使新的locals map与之前不同。当再次执行execute_block函数时，如果指令需要访问的索引在新的AbstractState locals map中不存在，就会导致DoS。

我们发现在reference safety模块中，MoveLoc/CopyLoc/FreeRef操作码可以实现这个目标。以copy_loc函数为例，如果LocalIndex不存在会导致panic，从而使整个节点崩溃。

为了验证这个漏洞，我们编写了一个PoC。这个PoC中的代码块包含一个无条件分支指令，每次执行最后一条指令时都会跳回第一条指令，因此这个代码块将多次调用execute_block和join函数。

通过设置适当的参数，我们可以使新的locals map长度变为8。在第二次执行execute_block函数时，由于locals长度不足，会导致panic。

这个漏洞提醒我们，即使是像Move这样强调安全性的语言也可能存在漏洞。我们建议Move语言设计者在运行时增加更多的检查代码，以防止意外情况发生。目前Move语言主要在verify阶段进行安全检查，但这可能还不够。一旦验证被绕过，如果运行阶段没有足够的安全加固，可能会导致更严重的问题。

作为Move语言安全研究的领导者，我们将继续深入研究Move的安全问题，并在未来分享更多发现。