Auteur : BitsLab
Move, en tant que langage incontournable pour les développeurs Web3, se distingue par son système de types strict et sa sémantique des ressources, offrant une approche très "hardcore" en matière de propriété des actifs, de transfert illégal et de concurrence sur les données.
Les écosystèmes tels que Sui et Aptos placent de plus en plus d'actifs clés et de protocoles centraux sur Move, précisément en raison des caractéristiques fondamentales du langage Move, qui permettent de construire des smart contracts plus sûrs et moins risqués.
Cependant, notre expérience en audit à long terme et en pratiques offensives et défensives montre que de nombreux problèmes épineux ne surviennent pas dans des endroits évidents comme les "erreurs de syntaxe" ou les "incompatibilités de type", mais plutôt à des niveaux systémiques plus complexes et plus réels — interactions inter-modules, hypothèses sur les permissions, frontières des machines à états, ainsi que des séquences d'appels qui, prises individuellement, semblent raisonnables mais qui, combinées, peuvent être exploitées.
C'est pourquoi, même si le langage Move offre un paradigme de sécurité plus complet, des incidents d'attaque majeurs se sont tout de même produits dans son écosystème. Il est évident que la recherche sur la sécurité de Move doit aller plus loin.
Nous avons identifié un problème central : il manque un outil de fuzzing efficace pour le langage Move. En raison des contraintes plus strictes de Move, le fuzzing traditionnel des smart contracts rencontre un point douloureux dans le contexte Move : générer des séquences de transactions à la fois "correctes au niveau du type" et "sémantiquement atteignables" est très complexe. Si les entrées ne sont pas assez précises, l'appel ne peut pas être effectué ; sans appel, il est impossible de couvrir les branches profondes ou d'atteindre des états critiques, ce qui augmente le risque de manquer les chemins qui déclenchent réellement des vulnérabilités.
Pour répondre à ce problème persistant, nous avons collaboré avec une équipe de recherche universitaire pour réaliser et publier les résultats suivants :
« Belobog : Move Language Fuzzing Framework For Real-World Smart Contracts »
arXiv:2512.02918 (preprint)
Lien vers l'article :
Cet article est actuellement publié sur arXiv en tant que preprint, ce qui permet à la communauté de voir rapidement les avancées de la recherche et de donner un retour. Nous soumettons également ce travail à PLDI’26 et attendons le processus de peer review. Dès que les résultats de la soumission seront confirmés et l'évaluation par les pairs terminée, nous communiquerons immédiatement les avancées correspondantes.
Faire en sorte que le fuzzing "entre vraiment" dans Move : du hasard à l'orientation par les types
L'idée centrale de Belobog est très simple : puisque le système de types de Move est sa contrainte fondamentale, le fuzzing devrait l'utiliser comme guide, et non comme obstacle.
Les méthodes traditionnelles reposent souvent sur la génération et la mutation aléatoires, mais sur Move, cela produit rapidement de nombreux échantillons invalides : incompatibilité de type, ressources inaccessibles, paramètres mal construits, blocages dans la chaîne d'appels — au final, on n'obtient pas une couverture de test, mais une série d'échecs dès le départ.
L'approche de Belobog revient à doter le fuzzer d'une "carte". Il part du système de types de Move pour construire un type graph basé sur la sémantique des types du smart contract cible, puis utilise ce graphe pour générer ou muter les séquences de transactions. Autrement dit, il ne concatène pas les appels à l'aveugle, mais construit des combinaisons d'appels plus raisonnables, exécutables et capables d'explorer plus profondément l'espace des états, en suivant les relations de type.
Pour la recherche en sécurité, ce changement n'apporte pas un "algorithme plus sophistiqué", mais un bénéfice très simple et crucial :
Un taux d'échantillons valides plus élevé, une efficacité d'exploration accrue, et une meilleure capacité à atteindre ces chemins profonds où les vraies vulnérabilités apparaissent souvent.
Face à des contraintes complexes : Belobog introduit l'exécution concolique pour "ouvrir la porte"
Dans les smart contracts Move réels, la logique clé est souvent entourée de multiples vérifications, assertions et contraintes. Si l'on se contente de mutations traditionnelles, on risque de rester bloqué à l'entrée : les conditions ne sont jamais remplies, les branches restent inaccessibles, et l'état n'est jamais atteint.
Pour résoudre ce problème, Belobog a conçu et implémenté l'exécution concolique (exécution concrète + déduction symbolique). En termes simples :
D'une part, il maintient une exécution concrète "qui fonctionne", d'autre part, il utilise la déduction symbolique pour se rapprocher de manière plus ciblée des conditions de branchement, ce qui permet de traverser plus efficacement les vérifications complexes et d'augmenter la profondeur de couverture.
Cela est particulièrement important pour l'écosystème Move, car la "sensation de sécurité" des smart contracts Move repose souvent sur des couches de contraintes, alors que les vrais problèmes se cachent souvent dans les interstices entre ces contraintes. L'objectif de Belobog est de pousser les tests au plus près de ces interstices.
S'aligner sur le monde réel : il ne s'agit pas de réussir un simple demo, mais de se rapprocher des chemins d'attaque réels
Nous ne souhaitons pas que ce type de travail se limite à "faire fonctionner un demo". L'évaluation de Belobog cible directement des projets réels et des conclusions de vulnérabilités réelles. Selon les résultats expérimentaux de l'article : Belobog a été évalué sur 109 projets de smart contracts Move réels, et les résultats montrent que Belobog peut détecter 100 % des vulnérabilités critiques et 79 % des vulnérabilités majeures confirmées par des experts en sécurité humains.
Plus important encore : Belobog est capable de reproduire des attaques complètes (full exploits) sur des événements réels on-chain, sans dépendre de connaissances préalables sur les vulnérabilités. Cette capacité est précieuse car elle se rapproche davantage des situations réelles de défense et d'attaque : les attaquants ne réussissent pas grâce à une "erreur de fonction isolée", mais grâce à un chemin complet et à l'évolution de l'état.
Ce que ce travail veut exprimer, ce n'est pas seulement "avoir créé un outil"
Cette publication mérite d'être lue non seulement parce qu'elle propose un nouveau cadre, mais aussi parce qu'elle représente une direction plus pragmatique : abstraire l'expérience de sécurité de terrain en méthodes réutilisables et la concrétiser par une implémentation technique vérifiable.
Nous pensons que la valeur de Belobog ne réside pas dans le fait d'être "un fuzzer de plus", mais dans le fait qu'il rapproche le fuzzing sur Move de la réalité — il peut entrer, aller en profondeur, et se rapprocher des chemins d'attaque réels. Belobog n'est pas un outil fermé conçu pour quelques experts en sécurité, mais un cadre developer-friendly : il vise à abaisser la barrière d'utilisation, permettant aux développeurs d'intégrer continuellement des tests de sécurité dans leur processus de développement habituel, plutôt que de faire du fuzzing une tâche ponctuelle et a posteriori.
Nous publierons également Belobog en open source, dans l'espoir qu'il devienne une infrastructure que la communauté pourra utiliser, étendre et faire évoluer ensemble, et non un projet expérimental limité à l'"outil".
Article (preprint) :
(Ce travail est également en cours de soumission à PLDI’26, en attente d'évaluation par les pairs.)
À propos de MoveBit
MoveBit (Mobi Security), une sous-marque de BitsLab, est une entreprise spécialisée dans la sécurité blockchain axée sur l'écosystème Move, qui fait du Move l'écosystème Web3 le plus sûr grâce à l'utilisation pionnière de la vérification formelle. MoveBit a déjà collaboré avec de nombreux projets de renommée mondiale et a fourni à ses partenaires des services d'audit de sécurité complets. L'équipe MoveBit est composée de leaders de la sécurité issus du monde académique et de l'industrie, avec 10 ans d'expérience en sécurité, ayant publié des recherches dans des conférences internationales de premier plan telles que NDSS et CCS. Ils sont également parmi les premiers contributeurs de l'écosystème Move et ont collaboré avec les développeurs Move pour établir les standards des applications Move sécurisées.
