Move虚拟机漏洞影响Aptos区块链

admin 2022年10月26日09:13:49安全漏洞评论19 views754字阅读2分30秒阅读模式

Move虚拟机漏洞影响Aptos区块链

Move虚拟机漏洞影响Aptos区块链

近日,新加坡Numen Cyber Labs安全研究人员在Aptos公链的虚拟机中发现一个非常严重的安全漏洞。攻击者利用该漏洞可以引发Aptos节点奔溃,甚至拒绝服务。

Move中有两类程序:module和script。Module是定义结构类型和函数的库。Script是可执行文件的入口点。Movevm和evm虚拟机原理是相同的,需要将源码编译为字节码,然后在虚拟机中执行。流程图如下:

Move虚拟机漏洞影响Aptos区块链

stack_usage_verifier.rs负责字节码指令在MoveVM中执行之前验证字节码指令。Numen Cyber Labs安全研究人员在move语言的验证组件stack_usage_verifier.rs中发现一个安全漏洞。

该漏洞是一个整数溢出相关漏洞。攻击者利用该漏洞在与Aptos脚本进行交互时,可以构造如下文件格式来引发stack_size_increment溢出:

Move虚拟机漏洞影响Aptos区块链

由于该漏洞属于Move执行模块,因此对于链上节点,如果字节码代码执行,就会引发DoS攻击。如果严重,可能会对节点的稳定性带来影响,也可能会引发Aptos 网络完全停止运行。

研究人员将该漏洞报告给了Aptos团队,Aptos团队很快就修复了该漏洞。补丁如下所示:

Move虚拟机漏洞影响Aptos区块链

完整技术分析参见:https://medium.com/numen-cyber-labs/analysis-of-the-first-critical-0-day-vulnerability-of-aptos-move-vm-8c1fd6c2b98e

参考及来源:https://thehackernews.com/2022/10/critical-flaw-reported-in-move-virtual.html

Move虚拟机漏洞影响Aptos区块链

Move虚拟机漏洞影响Aptos区块链

原文始发于微信公众号(嘶吼专业版):Move虚拟机漏洞影响Aptos区块链

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月26日09:13:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Move虚拟机漏洞影响Aptos区块链 http://cn-sec.com/archives/1370581.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: