我们刚刚发布了 MoveBit 的一项最新研究成果:
Belobog:面向真实世界攻击的 Move 模糊测试框架
📄 阅读论文(arXiv 预印本):arxiv.org/abs/2512.02918
🌪️ Move 通常被认为是“设计上更安全”。但在实际审计中,最严重的问题很少来自语法或类型错误
——它们源于系统级行为:跨模块交互、权限假设、状态机边界以及可组合的调用序列。
模糊测试 Move 非常困难,因为输入必须类型正确且语义可达。如果事务无法执行,则永远无法触及深层状态——以及真正的攻击路径。
Belobog 将 Move 的类型系统视为一种指导,而非障碍:
💍 类型引导的事务生成
💍 代码执行以突破严格的约束
💍 在 109 个真实的 Move 项目中进行了评估,检测到了 100% 的专家确认的严重漏洞和 79% 的主要漏洞,并重现了真实事件中的完整漏洞利用程序
👉 论文(arXiv 预印本):arxiv.org/abs/2512.02918
(已提交至 PLDI’26 — 我们将在同行评审后分享更新。)
