Move语言引用安全模块中的整数溢出漏洞分析

近期，我们在深入研究Aptos Moveevm时发现了一个新的整数溢出漏洞。这个漏洞的触发过程相当有趣，下面我们将深入分析这个漏洞，并借此机会探讨Move语言的一些核心概念。

Move语言在执行字节码之前会进行代码单元验证，这个过程分为四个步骤。本文讨论的漏洞出现在reference_safety步骤中。

reference_safety模块主要负责验证代码中的引用安全性，包括检查是否存在悬空引用、可变引用访问是否安全、全局存储引用访问是否合规等。

在引用安全验证过程中，系统会对每个基本块进行分析。基本块是指除入口和出口外没有分支指令的代码序列。Move语言通过遍历字节码，查找所有分支指令和循环指令序列来识别基本块。

Move语言支持两种引用类型：不可变引用(&)和可变引用(&mut)。不可变引用用于读取数据，可变引用用于修改数据。这种设计有助于提高代码的安全性和可读性。

引用安全验证的主要流程包括：扫描函数中的基本块，分析字节码指令，判断所有引用操作是否合法。这个过程使用AbstractState结构体，其中包含borrow graph和locals，共同确保函数中的引用安全性。

验证过程中会比较执行基本块前后的状态(pre state和post state)，并将结果合并以更新块状态。如果状态发生变化且当前块存在指向自身的后向边（表示存在循环），则会重新执行该基本块，直到状态不再变化或出现错误。

漏洞出现在判断join结果是否改变的过程中。当函数参数长度和局部变量长度之和超过256时，由于使用u8类型表示local索引，可能导致整数溢出。虽然Move语言有校验locals个数的过程，但只检查了局部变量数量，没有包括参数长度。

这个整数溢出漏洞可能导致拒绝服务攻击(DoS)。攻击者可以构造一个循环代码块，利用溢出改变块的状态，使新的locals map与之前不同。当再次执行execute_block函数时，如果指令需要访问的索引在新的AbstractState locals map中不存在，就会导致panic，从而使整个节点崩溃。

为了演示这个漏洞，我们提供了一个可在git中重现的PoC。这个PoC包含一个带有无条件分支指令的基本块，可以多次触发execute_block和join函数。通过精心设置参数和局部变量数量，可以使新的locals map长度减少到8，然后在第二次执行时触发panic。

这个漏洞再次证明了没有绝对安全的代码。尽管Move语言在执行前进行了严格的静态校验，但仍可能被溢出漏洞绕过。这也强调了代码审计的重要性，以及在语言设计中增加运行时安全检查的必要性。

作为Move语言安全研究的领导者，我们将继续深入研究Move的安全问题，并建议语言设计者在Move运行时增加更多的检查代码，以防止意外情况发生。目前Move语言主要在verify阶段进行安全检查，但我们认为这还不够。一旦验证被绕过，运行阶段缺乏足够的安全加固可能导致更严重的问题。