BitsLab di bawah MoveBit Research merilis｜Belobog: Kerangka Fuzz Testing Move untuk Serangan Nyata

Penulis: BitsLab

Move sebagai salah satu bahasa yang tidak boleh diabaikan oleh pengembang Web3, sangat “hardcore” dalam sistem tipe yang kuat dan semantik sumber daya, terutama dalam hal kepemilikan aset, transfer ilegal, serta kompetisi data.

Ekosistem seperti Sui dan Aptos menempatkan semakin banyak aset penting dan protokol inti pada Move, juga karena karakteristik inti bahasa Move yang memungkinkannya membangun smart contract yang lebih aman dan berisiko lebih kecil.

Namun, dalam praktik audit jangka panjang dan pertahanan-serangan yang kami lakukan, kenyataannya adalah: sebagian besar masalah yang sulit seringkali tidak terjadi pada “kesalahan sintaksis” atau “ketidakcocokan tipe” yang mencolok, melainkan terjadi pada tingkat sistem yang lebih kompleks dan nyata—interaksi antar modul, asumsi hak akses, batas mesin status, serta urutan pemanggilan yang tampak wajar secara individual namun dapat dimanfaatkan jika digabungkan.

Karena itu, meskipun bahasa Move memiliki paradigma keamanan yang lebih baik, tetap saja pernah terjadi insiden serangan besar di ekosistemnya. Jelas, riset keamanan Move masih perlu ditingkatkan lebih lanjut.

Kami menemukan satu masalah inti: dalam bahasa Move, belum ada alat fuzzing yang efektif. Karena Move memiliki lebih banyak batasan, fuzzing smart contract tradisional menghadapi masalah pelik di skenario Move: menghasilkan urutan transaksi yang “benar secara tipe” dan “dapat dicapai secara semantik” sangatlah kompleks. Jika input tidak cukup presisi, pemanggilan tidak dapat dilakukan; jika tidak dapat dipanggil, maka tidak dapat mencakup cabang yang dalam atau mencapai status penting, sehingga lebih mudah melewatkan jalur yang benar-benar dapat memicu kerentanan.

Berdasarkan masalah jangka panjang ini, kami bekerja sama dengan tim riset universitas dan bersama-sama menyelesaikan serta merilis hasil penelitian:

《Belobog: Move Language Fuzzing Framework For Real-World Smart Contracts》

arXiv:2512.02918 (preprint)

Makalah ini saat ini diterbitkan di arXiv sebagai preprint, tujuannya agar komunitas dapat lebih cepat melihat perkembangan riset dan memberikan umpan balik. Kami sedang mengirimkan karya ini ke PLDI’26 dan menunggu proses peer review. Setelah hasil pengajuan dikonfirmasi dan review selesai, kami juga akan segera menginformasikan perkembangan terkait.

Membuat Fuzzing Benar-benar “Masuk” ke Move: Dari Trial-and-Error Acak ke Panduan Berdasarkan Tipe

Inti dari Belobog sangat langsung: karena sistem tipe Move adalah batasan dasarnya, maka fuzzing juga harus menggunakan tipe sebagai navigasi, bukan sebagai hambatan.

Cara tradisional seringkali mengandalkan generasi dan mutasi acak, tetapi di Move, ini dengan cepat menghasilkan banyak sampel tidak valid: tipe tidak cocok, sumber daya tidak dapat dicapai, parameter tidak dapat dibangun dengan benar, rantai pemanggilan terhambat—akhirnya yang Anda dapatkan bukan cakupan pengujian, melainkan sekumpulan “gagal di awal”.

Metode Belobog lebih seperti memasang “peta” pada fuzzer. Ia memulai dari sistem tipe Move, membangun type graph berbasis semantik tipe untuk kontrak target, lalu menggunakan grafik ini untuk menghasilkan atau memutasi urutan transaksi. Dengan kata lain, ia tidak secara membabi buta menggabungkan pemanggilan, melainkan membangun kombinasi pemanggilan yang lebih masuk akal, dapat dieksekusi, dan lebih mudah menembus ruang status berdasarkan hubungan tipe.

Bagi riset keamanan, perubahan ini bukan tentang “algoritma yang lebih mewah”, melainkan manfaat yang sangat sederhana namun krusial:

Proporsi sampel valid lebih tinggi, efisiensi eksplorasi lebih baik, dan lebih berpeluang mencapai jalur dalam di mana kerentanan nyata sering muncul.

Menghadapi Batasan Kompleks: Belobog Mengadopsi Concolic Execution untuk “Membuka Pintu”

Dalam kontrak Move nyata, logika penting seringkali dikelilingi oleh lapisan pemeriksaan, asersi, dan batasan. Jika hanya mengandalkan mutasi tradisional, Anda akan sering “menabrak pintu”: kondisi tidak pernah terpenuhi, cabang tidak pernah dimasuki, status tidak pernah tercapai.

Untuk mengatasi masalah ini, Belobog lebih lanjut merancang dan mengimplementasikan concolic execution (eksekusi konkret + deduksi simbolik secara hybrid). Sederhananya:

Di satu sisi ia tetap melakukan eksekusi konkret yang “bisa dijalankan”, di sisi lain menggunakan deduksi simbolik untuk lebih terarah mendekati kondisi cabang, sehingga lebih efektif menembus pemeriksaan kompleks dan memperdalam cakupan.

Hal ini sangat penting untuk ekosistem Move, karena “rasa aman” kontrak Move sering dibangun di atas banyak lapisan batasan, sementara masalah nyata sering tersembunyi di celah-celah antara batasan tersebut. Tujuan Belobog adalah mendorong pengujian hingga mendekati celah-celah tersebut.

Menyelaraskan dengan Dunia Nyata: Bukan Hanya Menjalankan Demo, Tapi Mendekati Jalur Serangan Nyata

Kami tidak ingin pekerjaan seperti ini hanya berhenti pada “bisa menjalankan demo”. Evaluasi Belobog langsung mengarah pada proyek nyata dan kesimpulan kerentanan nyata. Berdasarkan hasil eksperimen dalam makalah: Belobog dievaluasi pada 109 proyek smart contract Move dunia nyata, dan hasil eksperimen menunjukkan bahwa Belobog dapat mendeteksi 100% kerentanan Critical dan 79% kerentanan Major yang telah dikonfirmasi oleh auditor keamanan manusia.

Yang lebih patut diperhatikan: Belobog, tanpa mengandalkan pengetahuan kerentanan sebelumnya, dapat mereplikasi exploit penuh pada insiden nyata di blockchain. Nilai dari kemampuan ini adalah, ia lebih mendekati situasi yang kita hadapi dalam pertahanan dan serangan nyata: penyerang tidak berhasil hanya dengan “kesalahan fungsi tunggal”, melainkan dengan jalur lengkap dan evolusi status.

Pekerjaan Ini Ingin Menyampaikan, Bukan Hanya “Membuat Sebuah Alat”

Alasan makalah ini layak dibaca bukan hanya karena memperkenalkan kerangka kerja baru, tetapi karena mewakili arah yang lebih pragmatis: mengabstraksikan pengalaman keamanan garis depan menjadi metode yang dapat digunakan kembali, dan mewujudkannya dengan implementasi rekayasa yang dapat diverifikasi.

Kami percaya makna Belobog bukan pada “satu lagi fuzzer”, melainkan karena ia membuat fuzzing di Move lebih mendekati kenyataan—bisa masuk, bisa menembus dalam, dan lebih dekat dengan jalur serangan nyata. Belobog bukan alat tertutup yang dirancang untuk sedikit ahli keamanan, melainkan kerangka kerja yang ramah pengembang: ia berusaha menurunkan ambang penggunaan, memungkinkan pengembang secara berkelanjutan mengintegrasikan pengujian keamanan dalam proses pengembangan yang sudah dikenal, bukan menjadikan fuzzing sebagai pekerjaan satu kali atau dilakukan setelah kejadian.

Kami juga akan merilis Belobog secara open source, berharap ia menjadi infrastruktur yang dapat digunakan, dikembangkan, dan dievolusi bersama oleh komunitas, bukan hanya proyek eksperimental di tingkat alat.

Makalah (preprint):

(Saat ini karya ini sedang diajukan ke PLDI’26 dan menunggu peer review.)

Tentang MoveBit

MoveBit (Mobi Security), sub-merek di bawah BitsLab, adalah perusahaan keamanan blockchain yang berfokus pada ekosistem Move, yang menjadi pelopor dalam menggunakan verifikasi formal untuk menjadikan ekosistem Move sebagai ekosistem Web3 paling aman. MoveBit telah bekerja sama dengan banyak proyek terkenal di seluruh dunia, dan menyediakan layanan audit keamanan menyeluruh bagi mitra. Tim MoveBit terdiri dari pakar keamanan dari dunia akademik dan pemimpin keamanan dari dunia industri, dengan pengalaman keamanan selama 10 tahun, serta telah mempublikasikan hasil riset keamanan di konferensi akademik keamanan internasional terkemuka seperti NDSS dan CCS. Selain itu, mereka adalah kontributor paling awal di ekosistem Move, dan bersama pengembang Move, mereka menetapkan standar aplikasi Move yang aman.