Move, sebagai bahasa yang tidak boleh diabaikan oleh pengembang Web3, memiliki sistem tipe yang kuat dan semantik sumber daya yang sangat "hardcore" dalam hal kepemilikan aset, transfer ilegal, persaingan data, dan aspek lainnya. Ekosistem seperti Sui dan Aptos menempatkan semakin banyak aset kunci dan protokol inti di Move justru karena fitur inti bahasa Move, yang memungkinkan pembuatan kontrak pintar yang lebih aman dan berisiko lebih kecil.
Namun, realitas yang kami lihat dalam praktik audit dan pertahanan serangan jangka panjang adalah: Sebagian besar masalah sulit sering kali tidak terjadi pada posisi yang jelas seperti "kesalahan sintaksis" atau "ketidakcocokan tipe", tetapi terjadi pada tingkat sistem yang lebih kompleks dan nyata—interaksi antar modul, asumsi perizinan, batas mesin status, serta urutan panggilan yang setiap langkahnya terlihat masuk akal sendiri, tetapi ketika digabungkan dapat dieksploitasi. Justru karena itu, meskipun bahasa Move memiliki paradigma keamanan yang lebih lengkap, insiden serangan yang berdampak besar masih terjadi di ekosistemnya. Jelas, penelitian keamanan Move perlu melangkah lebih jauh.
Kami mengidentifikasi masalah inti: Dalam bahasa Move, kurangnya alat pengujian kabur (Fuzzing) yang efektif. Karena kendala Move lebih kuat, Fuzzing kontrak pintar tradisional menghadapi titik sakit yang sulit di lingkungan Move: menghasilkan urutan transaksi yang "benar secara tipe" dan "dapat dicapai secara semantik" sangat kompleks. Input tidak cukup tepat, panggilan tidak dapat diselesaikan; tidak dapat memanggil, berarti tidak dapat mencakup cabang yang dalam, mencapai status kunci, dan lebih mudah melewatkan jalur yang benar-benar dapat memicu kerentanan.
Berdasarkan titik sakit jangka panjang ini, kami bekerja sama dengan tim penelitian universitas dan bersama-sama menyelesaikan serta merilis hasil penelitian:
《Belobog: Kerangka Uji Kabur Bahasa Move untuk Kontrak Pintar Dunia Nyata》
arXiv:2512.02918 (pra-cetak)
Tautan makalah: https://arxiv.org/abs/2512.02918
Makalah ini saat ini dirilis di arXiv sebagai preprint (pra-cetak), tujuannya adalah agar komunitas dapat melihat kemajuan penelitian lebih cepat dan menerima umpan balik. Kami sedang mengajukan pekerjaan ini ke PLDI’26 dan menunggu proses peer review. Setelah hasil pengajuan dikonfirmasi dan tinjauan sejawat selesai, kami juga akan menyinkronkan perkembangan terkait sesegera mungkin.
Membuat Fuzzing Benar-benar "Dapat Masuk" ke Move: Dari Coba-Coba Acak ke Panduan Tipe
Gagasan inti Belobog sangat langsung: Karena sistem tipe Move adalah kendala dasarnya, maka Fuzzing juga harus menganggap tipe sebagai panduan, bukan sebagai hambatan.
Praktik tradisional sering kali mengandalkan pembuatan dan mutasi acak, tetapi di Move, ini dengan cepat menghasilkan banyak sampel tidak valid: ketidakcocokan tipe, sumber daya tidak dapat dicapai, parameter tidak dapat dibangun dengan benar, rantai panggilan memiliki titik tersumbat — pada akhirnya yang Anda dapatkan bukanlah cakupan pengujian, melainkan tumpukan "gagal sejak start".
Metode Belobog lebih mirip memasang "peta" untuk Fuzzer. Ini dimulai dari sistem tipe Move, membangun type graph berdasarkan semantik tipe untuk kontrak target, lalu berdasarkan grafik ini untuk menghasilkan atau memutasikan urutan transaksi. Dengan kata lain, ia tidak menyambungkan panggilan secara membabi buta, tetapi membangun kombinasi panggilan yang lebih masuk akal, lebih dapat dieksekusi, dan lebih mudah masuk ke ruang status yang dalam sepanjang hubungan tipe.
Bagi penelitian keamanan, perubahan ini membawa keuntungan yang sangat sederhana tetapi kunci:
Proporsi sampel efektif lebih tinggi, efisiensi eksplorasi lebih tinggi, dan lebih berpeluang mencapai jalur dalam di mana kerentanan nyata sering muncul.
Menghadapi Kendala Kompleks: Belobog Memperkenalkan Concolic Execution untuk "Membuka Pintu"
Dalam kontrak Move nyata, logika kunci sering dikelilingi oleh lapisan pemeriksaan, pernyataan, dan kendala. Jika hanya mengandalkan mutasi tradisional, Anda mudah menabrak di pintu: kondisi selalu tidak terpenuhi, cabang selalu tidak bisa masuk, status selalu tidak bisa tercapai.
Untuk mengatasi masalah ini, Belobog lebih lanjut merancang dan mengimplementasikan concolic execution (eksekusi konkret + derivasi simbolis dalam eksekusi hybrid). Secara sederhana:
Di satu sisi, ia mempertahankan eksekusi konkret yang "dapat berjalan", di sisi lain, menggunakan derivasi simbolis untuk lebih terarah mendekati kondisi cabang tersebut, sehingga lebih efektif menembus pemeriksaan kompleks dan mendorong kedalaman cakupan.
Hal ini sangat penting bagi ekosistem Move, karena "rasa aman" kontrak Move sering dibangun di atas lapisan kendala, dan masalah sebenarnya sering tersembunyi di celah setelah kendala saling bersilangan. Yang ingin dilakukan Belobog adalah mendorong pengujian ke dekat celah-celah ini.
Menyelaraskan dengan Dunia Nyata: Bukan Menjalankan Demo, Tetapi Mendekati Jalur Serangan Nyata
Kami tidak terlalu berharap pekerjaan semacam ini hanya berhenti pada "dapat menjalankan demo". Evaluasi Belobog langsung ditujukan pada proyek nyata dan kesimpulan kerentanan nyata. Menurut hasil eksperimen dalam makalah: Belobog dievaluasi pada 109 proyek kontrak pintar Move dunia nyata, hasil eksperimen menunjukkan bahwa Belobog dapat mendeteksi 100% kerentanan Critical yang dikonfirmasi oleh auditor keamanan ahli manusia dan 79% kerentanan Major.
Yang lebih patut diperhatikan: Belobog, tanpa bergantung pada pengetahuan kerentanan apriori, dapat mereproduksi eksploitasi penuh (full exploits) dalam peristiwa on-chain nyata. Nilai kemampuan semacam ini terletak pada kenyataan bahwa ini lebih mendekati situasi yang kami hadapi dalam pertahanan serangan dunia nyata: Penyerang tidak berhasil karena "kesalahan fungsi titik tunggal tetapi karena jalur lengkap dan evolusi status.
Pekerjaan ini ingin menyampaikan, bukan hanya "membuat sebuah alat"
Alasan makalah ini layak dibaca bukan hanya karena mengusulkan kerangka kerja baru, tetapi karena mewakili arah yang lebih pragmatis: mengabstraksikan pengalaman keamanan lini pertama menjadi metode yang dapat digunakan kembali, dan mengimplementasikannya dengan realisasi teknik yang dapat diverifikasi.
Kami berpendapat bahwa makna Belobog bukan terletak pada "sebuah Fuzzer lagi", tetapi在于 membuat Fuzzing di Move lebih mendekati kenyataan — dapat masuk, dapat masuk lebih dalam, dan也更贴近 jalur serangan nyata. Belobog bukan alat tertutup yang dirancang untuk少数 ahli keamanan, melainkan sebuah kerangka yang ramah pengembang (developer-friendly): Ini berusaha menurunkan ambang batas penggunaan, memungkinkan pengembang secara berkelanjutan memperkenalkan pengujian keamanan dalam alur pengembangan yang familiar, daripada menjadikan Fuzzing sebagai pekerjaan satu kali yang dilakukan setelahnya.
Kami juga akan merilis Belobog dengan cara sumber terbuka, berharap ini menjadi infrastruktur dasar yang dapat digunakan, diperluas, dan berevolusi bersama oleh komunitas, bukan hanya proyek eksperimental yang berhenti pada "tingkat alat".
Makalah (pra-cetak): https://arxiv.org/abs/2512.02918
(Secara bersamaan pekerjaan ini sedang diajukan ke PLDI’26, menunggu tinjauan sejawat.)
Tentang MoveBit
MoveBit (Mobi Security), merek anak dari BitsLab, adalah perusahaan keamanan blockchain yang berfokus pada ekosistem Move, bertujuan menjadikan ekosistem Move sebagai ekosistem Web3 paling aman dengan memelopori penggunaan verifikasi formal. MoveBit telah bekerja sama dengan banyak proyek terkenal global dan memberikan layanan audit keamanan komprehensif untuk mitra. Tim MoveBit terdiri dari pakar keamanan akademis dan pemimpin industri keamanan dengan pengalaman keamanan 10 tahun, telah mempublikasikan hasil penelitian keamanan di konferensi akademis keamanan top internasional seperti NDSS, CCS. Dan mereka adalah kontributor paling awal di ekosistem Move, bekerja sama dengan pengembang Move untuk menetapkan standar aplikasi Move yang aman.
