Move-over
瀏覽器端的 Move 安全戰爭遊戲
Move-over 是一款以瀏覽器為主的 Move 安全 CTF。閱讀有漏洞的合約,寫出 `run()` 攻擊路徑,並回傳正確的 `*Flag` 來通過每一關。
Move-over 為開源專案,原始碼公開於 GitHub.
形式
奪旗(CTF)
執行環境
100% 在瀏覽器中
目標
回傳 `*Flag`
[00:00:01] 正在啟動 move-over 瀏覽器執行環境……
[00:00:02] 載入關卡集:artifact、coin_collector、sticky_treasure
[00:00:03] 偵測到目標:回傳 level::Flag
[00:00:04] 解析 run() 樣板…… 就緒
[00:00:05] 不需要錢包,也不需要連網
[00:00:06] 已連上合作夥伴頻道: OpenZeppelin
[00:00:07] 攻擊模擬沙箱:運行中
[00:00:08] 驗證器狀態:等待你的程式碼……
[00:00:09] 寫好 run() 後按下 Run_
[00:00:01] 正在啟動 move-over 瀏覽器執行環境……
[00:00:02] 載入關卡集:artifact、coin_collector、sticky_treasure
[00:00:03] 偵測到目標:回傳 level::Flag
[00:00:04] 解析 run() 樣板…… 就緒
[00:00:05] 不需要錢包,也不需要連網
[00:00:06] 已連上合作夥伴頻道: OpenZeppelin
[00:00:07] 攻擊模擬沙箱:運行中
[00:00:08] 驗證器狀態:等待你的程式碼……
[00:00:09] 寫好 run() 後按下 Run_
在瀏覽器執行環境裡學 Move 智能合約安全
Move-over 是一個邊做邊學的瀏覽器安全實驗場。你不只讀理論,更要實際審視有漏洞的合約程式碼、寫出攻擊流程、即時執行,並驗證自己的解法能不能回傳正確的證明物件。核心循環非常實戰:讀、寫、跑、回傳、再優化。
Move-over 瀏覽器工作流程是怎麼跑的
每一關都在瀏覽器內的執行環境中運行,因此不需要設定錢包、不依賴鏈上狀態、也不用本機虛擬機就能開始練功。你可以專心在 Move 的安全邏輯上:所有權檢查、capability 濫用、物件狀態轉換,以及如何打造一條能通過驗證、又安全可重現的攻擊路徑。
寫出 `run()`、回傳 `Flag`、通過關卡
目標非常明確:寫出 `run()` 的函式內容,讓它能回傳該關所需的正確 `*Flag` 物件。只要回傳型別與行為符合關卡合約的要求,就算通關,進度也會自動保存。
你會練到的核心技能
- 閱讀並推理 Move 智能合約的安全行為。
- 在受控的瀏覽器環境中寫出攻擊導向的邏輯。
- 正確回傳證明物件,並驗證結果的確定性。
推薦入門路線
建議先從 Artifact 打好基本功,再用 Sticky Treasure 熟悉物件操作模式,接著挑戰 Flash Vault,做更深一層的攻擊推理。照這個順序走,可以一步一步建立起 Move 安全的實戰直覺。