MoveBit von BitsLab veröffentlicht Forschung｜Belobog: Ein Move-Fuzzing-Framework für reale Angriffe

Autor: BitsLab

Move ist eine Sprache, die Web3-Entwickler nicht ignorieren sollten. Sie zeichnet sich durch ein stark typisiertes System und Ressourcensemantik aus und ist besonders „hardcore“ in Bezug auf Asset-Eigentum, illegale Transfers und Datenkonkurrenz.

Ökosysteme wie Sui und Aptos legen immer mehr Schlüssel-Assets und Kernprotokolle auf Move ab, gerade weil die Kerneigenschaften der Move-Sprache es ermöglichen, sicherere und risikoärmere Smart Contracts zu erstellen.

Unsere langjährige Erfahrung in Audits und Angriff-/Verteidigungspraktiken zeigt jedoch: Ein Großteil der schwierigen Probleme tritt nicht bei offensichtlichen „Syntaxfehlern“ oder „Typinkompatibilitäten“ auf, sondern auf komplexeren, realitätsnäheren Systemebenen – etwa bei der Interaktion zwischen Modulen, Annahmen über Berechtigungen, Grenzen von Zustandsmaschinen sowie bei Aufrufsequenzen, die einzeln betrachtet sinnvoll erscheinen, in Kombination jedoch ausgenutzt werden können.

Gerade deshalb kommt es trotz des fortschrittlichen Sicherheitsparadigmas der Move-Sprache immer noch zu schwerwiegenden Angriffen im Ökosystem. Offensichtlich muss die Sicherheitsforschung zu Move weiter vorangetrieben werden.

Wir haben ein zentrales Problem erkannt: Es fehlt an einem effektiven Fuzzing-Tool für die Move-Sprache. Aufgrund der stärkeren Einschränkungen von Move stößt traditionelles Smart Contract Fuzzing hier auf ein großes Problem: Es ist äußerst komplex, Transaktionssequenzen zu generieren, die sowohl „typkorrekt“ als auch „semantisch erreichbar“ sind. Sind die Eingaben nicht präzise genug, kann der Aufruf nicht ausgeführt werden; ohne Aufruf werden tieferliegende Zweige und kritische Zustände nicht abgedeckt – und so werden potenzielle Schwachstellenpfade leicht übersehen.

Basierend auf diesem langjährigen Problem haben wir gemeinsam mit einem universitären Forschungsteam eine Forschungsarbeit entwickelt und veröffentlicht:

„Belobog: Move Language Fuzzing Framework For Real-World Smart Contracts“

arXiv:2512.02918 (Preprint)

Diese Arbeit ist derzeit als Preprint auf arXiv veröffentlicht, damit die Community schneller Einblick in den Forschungsfortschritt erhält und Feedback geben kann. Wir reichen diese Arbeit aktuell bei der PLDI’26 ein und warten auf das Peer-Review-Verfahren. Sobald das Ergebnis der Einreichung und das Peer-Review abgeschlossen sind, werden wir die entsprechenden Fortschritte umgehend mitteilen.

Fuzzing wirklich in Move „zum Laufen bringen“: Von Zufall und Irrtum zu Typen-gesteuerter Führung

Der Kernansatz von Belobog ist sehr direkt: Da das Typsystem von Move die grundlegende Einschränkung darstellt, sollte Fuzzing Typen als Wegweiser und nicht als Hindernis betrachten.

Traditionelle Methoden verlassen sich oft auf zufällige Generierung und Mutation, was bei Move schnell zu einer Vielzahl ungültiger Samples führt: Typinkompatibilitäten, nicht erreichbare Ressourcen, falsch konstruierte Parameter, Blockaden in der Aufrufkette – am Ende erhält man keine Testabdeckung, sondern eine Menge „Fehlschläge beim Start“.

Belobogs Ansatz gleicht eher dem Ausstatten des Fuzzers mit einer „Karte“. Ausgehend vom Typsystem von Move wird für den Zielvertrag ein typsemantischer Type Graph erstellt, auf dessen Grundlage Transaktionssequenzen generiert oder mutiert werden. Anders gesagt: Es werden nicht blind Aufrufe aneinandergereiht, sondern entlang von Typbeziehungen sinnvollere, ausführbare und tiefere Zustandsraum-Kombinationen konstruiert.

Für die Sicherheitsforschung bedeutet diese Änderung keinen „ausgefeilteren Algorithmus“, sondern einen sehr grundlegenden, aber entscheidenden Vorteil:

Der Anteil gültiger Samples ist höher, die Exploration effizienter und es besteht eine größere Chance, tiefere Pfade zu erreichen, auf denen echte Schwachstellen häufig auftreten.

Umgang mit komplexen Einschränkungen: Belobog führt Concolic Execution ein, um „die Tür zu öffnen“

In echten Move-Verträgen ist die Schlüssellogik oft von mehreren Schichten an Prüfungen, Assertions und Einschränkungen umgeben. Vertraut man nur auf traditionelle Mutationen, stößt man leicht immer wieder an dieselbe Tür: Bedingungen werden nie erfüllt, Zweige nie betreten, Zustände nie erreicht.

Um dieses Problem zu lösen, hat Belobog die concolic execution (konkrete Ausführung + symbolische Ableitung in Kombination) entwickelt und implementiert. Einfach gesagt:

Zum einen bleibt die „ausführbare“ konkrete Ausführung erhalten, zum anderen wird durch symbolische Ableitung gezielter auf die Erfüllung von Zweigbedingungen hingearbeitet, um komplexe Prüfungen effektiver zu durchdringen und die Abdeckungstiefe zu erhöhen.

Gerade für das Move-Ökosystem ist dies besonders wichtig, da das „Sicherheitsgefühl“ von Move-Verträgen oft auf mehreren Schichten von Einschränkungen basiert, während die eigentlichen Probleme häufig in den Lücken zwischen diesen Einschränkungen verborgen sind. Belobogs Ziel ist es, Tests in die Nähe dieser Lücken zu bringen.

Anpassung an die reale Welt: Nicht nur ein Demo, sondern Annäherung an echte Angriffspfade

Wir möchten nicht, dass diese Arbeit nur auf „funktionierende Demos“ beschränkt bleibt. Die Evaluierung von Belobog bezieht sich direkt auf reale Projekte und echte Schwachstellen. Laut den Experimenten in der Arbeit wurde Belobog an 109 realen Move-Smart-Contract-Projekten getestet. Die Ergebnisse zeigen, dass Belobog 100% der von menschlichen Sicherheitsexperten bestätigten kritischen Schwachstellen und 79% der Major-Schwachstellen erkennen konnte.

Bemerkenswert ist zudem: Belobog kann vollständige Angriffe (full exploits) in realen On-Chain-Ereignissen reproduzieren, ohne auf Vorwissen über Schwachstellen angewiesen zu sein. Der Wert dieser Fähigkeit liegt darin, dass sie der Realität von Angriffen näherkommt: Angreifer nutzen nicht nur „Fehler in Einzelfunktionen“, sondern vollständige Pfade und Zustandsentwicklungen.

Was diese Arbeit ausdrücken will, ist mehr als nur „ein Tool gebaut zu haben“

Diese Arbeit ist lesenswert, nicht nur weil sie ein neues Framework vorstellt, sondern weil sie einen pragmatischeren Ansatz repräsentiert: Praxiserfahrung aus der Sicherheit in wiederverwendbare Methoden zu abstrahieren und diese mit überprüfbaren technischen Implementierungen umzusetzen.

Wir sind der Meinung, dass die Bedeutung von Belobog nicht in „noch einem Fuzzer“ liegt, sondern darin, dass Fuzzing für Move realistischer wird – es kann starten, tief gehen und ist näher an echten Angriffspfaden. Belobog ist kein geschlossenes Tool für wenige Sicherheitsexperten, sondern ein entwicklerfreundliches Framework: Es senkt die Einstiegshürden, sodass Entwickler kontinuierlich Sicherheitstests in ihren gewohnten Entwicklungsprozess integrieren können, anstatt Fuzzing als einmalige, nachgelagerte Aufgabe zu betrachten.

Wir werden Belobog auch als Open Source veröffentlichen, in der Hoffnung, dass es zu einer gemeinsam nutzbaren, erweiterbaren und weiterentwickelbaren Infrastruktur für die Community wird – und nicht nur ein experimentelles Tool bleibt.

Paper (Preprint):

(Diese Arbeit wird gleichzeitig bei der PLDI’26 eingereicht und befindet sich im Peer-Review-Prozess.)

Über MoveBit

MoveBit (Mobi Security), eine Submarke von BitsLab, ist ein auf das Move-Ökosystem spezialisiertes Blockchain-Sicherheitsunternehmen, das durch den frühzeitigen Einsatz formaler Verifikation das Move-Ökosystem zum sichersten Web3-Ökosystem macht. MoveBit arbeitet bereits mit zahlreichen bekannten Projekten weltweit zusammen und bietet seinen Partnern umfassende Sicherheits-Audit-Services. Das MoveBit-Team besteht aus führenden Sicherheitsexperten aus Wissenschaft und Industrie mit 10 Jahren Erfahrung und hat Forschungsergebnisse auf Top-Konferenzen wie NDSS und CCS veröffentlicht. Außerdem gehören sie zu den frühesten Beitragenden im Move-Ökosystem und haben gemeinsam mit Move-Entwicklern Standards für sichere Move-Anwendungen entwickelt.