一文深度解析：2024 Move 生態中的技術創新與安全事件全景回顧

Move 編程語言以資源管理的獨特設計、安全性優先的架構，以及模塊化的開發模式，為區塊鏈智能合約帶來了顛覆性變革。在其驅動下，新興公鏈通過並行執行、對象中心設計和水平擴展等創新技術，實現了高性能與可擴展性的突破。然而，隨著 Move 生態的不斷擴展，其安全性也經受了實際應用的挑戰。2023 年和 2024 年曝出的拒絕服務漏洞等問題，揭示了區塊鏈系統中複雜性與安全性之間的平衡難題。通過及時修復漏洞、強化權限管理和推進代碼驗證，Move 生態正在逐步構建一個技術創新與安全並重的區塊鏈發展模式，為未來區塊鏈技術的進化奠定基礎。

Move 編程語言：區塊鏈智能合約的革新力量

在深入探討 Move 生態中具體的技術創新之前，我們需要首先了解這一生態的基礎——Move編程語言。作為區塊鏈智能合約開發的顛覆性力量，Move 不僅重新定義了資源管理和模塊化開發的可能性，更通過其安全性優先的設計理念，為生態內相關公鏈項目提供了堅實的技術支柱。接下來，我們將詳細解析 Move 語言的獨特優勢，以及相關公鏈和項目如何通過創新的智能合約架構，成功展現 Move 生態的巨大潛力。

Move 語言最初由 Facebook（現Meta）為 Diem（Libra）項目開發，旨在解決傳統智能合約語言的性能和安全瓶頸。Move 的設計強調資源的明確性與安全性，確保區塊鏈上每個狀態變化的可控性。這一創新編程語言具備以下顯著優勢：

資源管理模型：Move 將資產視為資源，使其不可複製或銷燬。這種獨特的資源管理模型避免了智能合約中常見的雙重支付或意外銷燬資產問題。

模塊化設計：Move 允許智能合約以模塊化的方式構建，提高代碼複用性，並且降低了開發複雜度。

高安全性：Move 在語言層面內置了大量的安全檢查機制，防止常見的安全漏洞，比如重入攻擊（reentrancy attacks）等。

綜上，Move 編程語言以其創新的設計理念和強大的技術優勢，為區塊鏈智能合約開發樹立了全新標準。通過將資產視為不可複製或銷燬的資源，Move 大幅提升了資源管理的安全性；其模塊化設計則為開發者帶來了更高的靈活性和開發效率。同時，內置的多重安全檢查機制有效避免了常見的智能合約漏洞問題。這些特性不僅解決了傳統智能合約語言的性能與安全瓶頸，還為相關新興公鏈提供了技術核心，推動了區塊鏈生態的高效與安全發展。

Move 生態中的安全事件

隨著 Move 生態的不斷髮展，其在技術創新的同時也面臨了諸多安全挑戰。從虛擬機的核心設計到具體的網絡運行機制，安全性問題成為影響生態穩定發展的重要因素。近年來，Move 生態中發生的兩起重要安全事件—— 2023 年的無限遞歸漏洞和 2024 年的內存池 DoS 漏洞，不僅暴露了系統潛在的風險，也突顯了生態中安全研究和漏洞修復的重要性。通過開發團隊和第三方安全機構的緊密合作，這些問題得到了及時解決，為 Move 生態的進一步發展奠定了安全基礎。

圖片來源：

https://www.bankless.com/sui-vs-aptos

具體安全事件細節如下：

2023 年 6 月，Move 虛擬機被發現嚴重拒絕服務漏洞，可以導致 Sui、Aptos 等公鏈全網崩潰，甚至可能硬分叉。安全研究員 poetyellow 在發現該漏洞後，公佈了相關細節。不過 Move 虛擬機開發團隊內部之前也獨立發現了該漏洞，並花費 1 個多月時間來修復此漏洞。

這個漏洞的類型是無限遞歸漏洞。在編程語言裡面，函數無限遞歸調用導致的棧溢出，是一個通用 DoS 漏洞類型，即使安全的 Rust 語言也逃不掉。

2024年9月，MoveBit 成功發現並協助修復了 Aptos 網絡中的一個內存池 DoS 漏洞，定級為High。該漏洞因內存池交易驅逐機制不完善，可能導致多達 90% 的正常交易被節點拒絕。Aptos 團隊已在 v1.19.1版本中修復了該漏洞，並在官方發佈說明中感謝 MoveBit 的貢獻。

從無限遞歸漏洞到內存池 DoS 漏洞，Move 生態中的這些安全事件揭示了技術創新背後潛在的安全隱患，同時也展現了生態中快速響應和修復的能力。然而，安全挑戰的解決不僅依賴於對單一事件的處理，更需要從整體架構和語言設計層面進行系統性優化。接下來，我們將從資源管理、權限控制和代碼審計等多個維度，深入探討 Move 生態在安全性上的持續關注點，分析其如何在技術發展與安全防護之間找到平衡。

Move 生態的安全觀察

Move 語言的出現為區塊鏈生態系統提供了全新的智能合約編程方式，主要應用在 Aptos 和 Sui 等公鏈上。Move 語言的設計初衷便是以安全性為核心，通過其資源管理、靜態類型系統和內存管理來預防常見漏洞。然而，隨著生態的不斷擴展，Move 仍需關注特定的安全領域：

資源管理和狀態一致性：Move 獨特的資源類型允許開發者在合約中明確管理資產的所有權，這雖然減少了資產丟失或重入攻擊的風險，但複雜的資源轉移和管理邏輯可能帶來新的錯誤。確保資源生命週期管理的有效性、避免資源轉移漏洞，是關鍵。

權限控制與訪問管理：Move 生態的模塊化開發便於組件複用，但模塊的訪問權限控制至關重要。開發者應嚴格限制敏感操作的權限，確保模塊功能和訪問級別的合理性，避免攻擊者利用高權限合約模塊進行操作。

安全審計和代碼驗證：Move 代碼的複雜性增加了審計的難度，需要持續進行安全審計和形式化驗證，確保代碼不包含溢出、邏輯錯誤等常見風險。標準化的審計流程和定期的代碼回溯有助於確保 Move 生態的長期安全。

最後，我們總結，Move編程語言的推出，標誌著區塊鏈智能合約領域的一次重大革新。其獨特的資源管理模型、安全性優先的設計理念以及模塊化的開發方式，解決了傳統智能合約語言在性能、安全性和靈活性上的多重瓶頸。通過將資產視為不可複製或銷燬的資源，Move 有效避免了雙重支付等常見的安全問題；同時，模塊化設計的實現，使得開發者能夠更高效地複用代碼，減少複雜度。在 Aptos 和 Sui 等基於 Move 語言的公鏈上，創新的並行執行引擎、對象中心設計以及水平擴展技術，為區塊鏈帶來了前所未有的高性能和可擴展性。這一切標誌著Move 生態在技術上正邁向區塊鏈發展的新高峰。

然而，隨著 Move 生態的迅速擴展，安全性問題也逐漸顯現。2023 年和 2024 年發生的兩起關鍵安全事件——無限遞歸漏洞和內存池 DoS 漏洞，揭示了區塊鏈系統在複雜性與安全性之間的微妙平衡。儘管如此，Move 生態通過及時的漏洞修復、權限管理加強和代碼驗證的推進，展現出了應對安全挑戰的高效能力。作為行業內資深的安全審計公司，BitsLab 始終致力於提供全面的安全保障，為 Move 生態和區塊鏈行業的健康發展保駕護航，確保技術創新和安全防護能夠並行推進，推動區塊鏈技術的未來演進。

閱讀我們的全部報告內容請點擊：

https://bitslab.xyz/reports-page

關於BitsLab

BitsLab 是一家致力於守護和構建新興 Web3 生態系統的安全組織，願景是成為備受行業和用戶尊敬的 Web3 安全機構。旗下擁有三個子品牌：MoveBit、ScaleBit 和 TonBit。BitsLab 專注於新興生態系統的基礎設施開發與安全審計，覆蓋但不限於 Sui、Aptos、TON、Linea、BNB Chain、Soneium、Starknet、Movement、Monad、Internet Computer 和 Solana 等生態。同時，BitsLab 在審計多種編程語言方面展現了深厚的專業能力，包括 Circom、Halo2、Move、Cairo、Tact、FunC、Vyper 和 Solidity。

MoveBit （莫比安全），作為 BitsLab 旗下的旗艦子品牌， 專注於 Move 生態的區塊鏈安全，通過率先使用形式化驗證使 Move 生態成為最安全的 Web3 生態系統。MoveBit 已經陸續與全球多家知名項目合作，併為合作伙伴提供了全方位的安全審計服務。MoveBit 團隊由學術界安全大牛和企業界安全領軍人物組成，具有10年的安全經驗，在 NDSS、CCS 等頂級國際安全學術會議上發表安全研究成果。並且他們是 Move 生態最早期的貢獻者，與 Move 開發者共同制定安全 Move 應用的標準。MoveBit 還發現了多個 Sui、Movement 和 Aptos 生態中的漏洞，包括在 Aptos 網絡中發現的高危漏洞，並已獲得 Aptos 團隊的官方致謝與認可。

作為區塊鏈安全領域的領先者，BitsLab 已為 Movement、Aptos Framework、Catizen、Synthetix、Tether、Cetus、UniSat、Nervos CKB、iZUMI Finance 和 Pontem 等多個旗艦項目提供安全審計服務。迄今為止，BitsLab 已交付超過 400 項安全解決方案，審計了 40 萬行代碼，保護了價值 80 億美元以上的資產，為全球超過 200 萬用戶提供了安全保障。這些成就充分體現了 BitsLab 對高質量審計服務的承諾，並樹立了區塊鏈行業的安全標準。

此外，BitsLab 團隊匯聚了多位頂級漏洞研究專家，他們曾多次榮獲國際 CTF 獎項，並在 TON、Aptos、Sui、Nervos、OKX 和 Cosmos 等知名項目中發現了關鍵漏洞。BitsLab 將繼續深耕 Web3 安全領域，助力新興生態系統的健康發展。