Move-over
浏览器端的 Move 安全战争游戏
Move-over 是一款主打浏览器体验的 Move 安全 CTF:阅读漏洞合约,编写 `run()` 利用逻辑,返回正确的 `*Flag` 即可通关。
Move-over 完全开源,源码托管于 GitHub.
形式
夺旗(CTF)
运行环境
纯浏览器运行
目标
返回 `*Flag`
[00:00:01] 正在启动 move-over 浏览器运行时……
[00:00:02] 正在加载关卡集:artifact、coin_collector、sticky_treasure
[00:00:03] 已识别目标:返回 level::Flag
[00:00:04] 解析 run() 模板…… 就绪
[00:00:05] 无需钱包,无需联网
[00:00:06] 合作伙伴通道已接入: OpenZeppelin
[00:00:07] 漏洞利用模拟沙箱:已激活
[00:00:08] 验证器状态:等待你的代码……
[00:00:09] 编写 run() 并按下 Run_
[00:00:01] 正在启动 move-over 浏览器运行时……
[00:00:02] 正在加载关卡集:artifact、coin_collector、sticky_treasure
[00:00:03] 已识别目标:返回 level::Flag
[00:00:04] 解析 run() 模板…… 就绪
[00:00:05] 无需钱包,无需联网
[00:00:06] 合作伙伴通道已接入: OpenZeppelin
[00:00:07] 漏洞利用模拟沙箱:已激活
[00:00:08] 验证器状态:等待你的代码……
[00:00:09] 编写 run() 并按下 Run_
在浏览器运行时里玩转 Move 智能合约安全
Move-over 是一个边做边学的浏览器端安全演练场。比起只读理论,你将直接审计漏洞合约代码、编写利用流程、即时运行,并验证你的解法能否返回预期的证明对象。核心循环非常实用:读、写、跑、返、改。
Move-over 浏览器工作流的运作方式
每一关都在浏览器内的运行时里跑,无需配置钱包、依赖链上状态或本地虚拟机即可开练。你只需专注于 Move 安全逻辑:所有权校验、能力滥用、对象状态转换,以及如何构造可复现、能通过校验的安全利用路径。
编写 `run()`、返回 `Flag`、通关
你的目标非常明确:写出 `run()` 的函数体,让它返回该关卡所需的 `*Flag` 对象。只要返回类型与行为满足关卡合约的要求,本关即视为通过,进度自动保存。
你将练就的核心技能
- 读懂并推理 Move 智能合约的安全行为。
- 在受控的浏览器环境中编写面向漏洞利用的逻辑。
- 正确返回证明对象,并验证结果的确定性。
推荐入门路线
先从 Artifact 打牢基础,再用 Sticky Treasure 掌握对象操作套路,然后挑战 Flash Vault 进阶利用思路。沿着这条线,你能一步步建立起 Move 安全的实战手感。