Move語言引用安全檢查中的整數溢出漏洞分析

近期，一個Move語言引用安全驗證過程中的新整數溢出漏洞被發現。這個漏洞出現在驗證代碼單元的reference_safety步驟中，涉及到Move語言中的基本塊和引用安全機制。

Move語言在執行字節碼前會進行代碼驗證，分爲四個步驟。引用安全驗證是其中一個重要環節，用於檢查是否存在懸空引用、對可變引用的訪問是否安全等。驗證過程會遍歷每個基本塊的字節碼指令。

基本塊是指除入口和出口外沒有分支指令的代碼序列。Move語言通過檢查分支和循環指令來識別基本塊。引用安全驗證會掃描每個基本塊中的指令，判斷引用操作的合法性。

驗證過程使用AbstractState結構體來表示狀態，包含locals和borrow graph兩個關鍵組件。驗證會比較執行前後的狀態，合並結果並傳播到後續塊。

漏洞出現在join_函數中。當參數長度和局部變量長度之和超過256時，由於使用u8類型迭代locals，會發生整數溢出。這可能導致新的locals map與之前不同，進而在再次執行時訪問不存在的索引，引發拒絕服務。

PoC代碼通過設置特定的參數和局部變量數量，觸發整數溢出，導致新的locals map長度縮短。再次執行時訪問不存在的offset，最終引發panic。

這個漏洞說明即使是靜態類型語言也可能存在安全問題。建議Move語言設計者在運行時增加更多安全檢查，而不僅僅依賴驗證階段的檢查。同時也反映出代碼審計的重要性。