6月18日，由Facebook發(fā)起的加密數(shù)字貨幣項目Libra正式亮相。Libra的白皮書與多個技術(shù)文檔也同步發(fā)布本文從技術(shù)角度對Move語言進行解讀，帶領(lǐng)大家對這門語言做一個初步的了解。

數(shù)字資產(chǎn)管理

Move最吸引眼球的特性是它提出的一套完整的面向數(shù)字資產(chǎn)的編程體系。與現(xiàn)有的區(qū)塊鏈編程語言相比，Move著重強化了數(shù)字資產(chǎn)的地位。使用Move語言，開發(fā)者能夠更靈活、安全地在鏈上定義和管理數(shù)字資產(chǎn)。

面臨的挑戰(zhàn)

在區(qū)塊鏈上定義數(shù)字資產(chǎn)具有挑戰(zhàn)性。因為物理世界中資產(chǎn)的一些特性，難以在數(shù)字世界進行表達。

稀缺性：資產(chǎn)的供應(yīng)應(yīng)當受到管控。資產(chǎn)不能被復(fù)制，創(chuàng)建新的資產(chǎn)是特權(quán)行為。

訪問控制：系統(tǒng)要能夠確保參與者自身的資產(chǎn)受到訪問控制策略的保護。

現(xiàn)有解決方案

現(xiàn)有的區(qū)塊鏈編程語言都具備在區(qū)塊鏈上定義數(shù)字資產(chǎn)的能力，但仍具有一些不足和局限。下面以比特幣和以太坊為例，作一個簡要的說明。

比特幣通過UTXO的方式對其資產(chǎn)進行編碼，并使用比特幣腳本來定義資產(chǎn)的轉(zhuǎn)移規(guī)則，確保稀缺性和訪問控制。開發(fā)者可以使用比特幣腳本來定義各種不同的訪問控制策略。

然而，比特幣腳本具有相當?shù)木窒扌?，擴展性很差。比特幣腳本不是圖靈完備的語言，開發(fā)者也不能在其中自定義數(shù)據(jù)類型和過程等。因此，想要在比特幣區(qū)塊鏈上定義一種新的數(shù)字資產(chǎn)，或者實現(xiàn)更復(fù)雜的訪問控制策略，只能借助一些外部的手段，對開發(fā)者不友好。

以太坊使用數(shù)值代表以太幣，并在系統(tǒng)層面保證了以太幣的稀缺性和訪問控制。開發(fā)者可以使用EVM字節(jié)碼來編寫智能合約，與鏈上的數(shù)字資產(chǎn)進行交互。EVM字節(jié)碼是一種圖靈完備的語言，具有很強的擴展性。開發(fā)者不僅可以使用它操作以太幣，也可以自定義數(shù)字資產(chǎn)，編寫復(fù)雜的訪問控制策略。此外，也可以使用更高級的Solidity語言來編寫智能合約，Solidity代碼在運行之前會被編譯為EVM字節(jié)碼。

然而，在以太坊中，自定義的數(shù)字資產(chǎn)的級別要低于以太幣。以太幣的安全性有系統(tǒng)級別的保護，而自定義數(shù)字資產(chǎn)的安全性只能由開發(fā)者來保障。無論是底層的EVM字節(jié)碼還是高級的Solidity，開發(fā)者都只能用數(shù)值來間接代表數(shù)字資產(chǎn)。由于在編程語言的層面沒有對稀缺性和訪問控制提供支持，開發(fā)者在編碼過程中很容易發(fā)生錯誤，從而導(dǎo)致嚴重的后果，比如資產(chǎn)的復(fù)制、重用和丟失等。

一等資源

針對上述問題，Move提出了一等資源的概念。開發(fā)者不僅可以利用一等資源來實現(xiàn)安全的數(shù)字資產(chǎn)，也可為數(shù)字資產(chǎn)編寫正確的業(yè)務(wù)邏輯。

Move將數(shù)字資產(chǎn)與其他數(shù)據(jù)類型（如整數(shù)、布爾等）區(qū)分開來，將其定義為資源類型。資源類型的語義受到了線性邏輯的啟發(fā)：一個資源不能被復(fù)制，也不能被隱式的丟棄（即在程序結(jié)束時，資源處于無所屬的狀態(tài)），只能進行轉(zhuǎn)移。除了上述區(qū)別以外，資源類型在其他方面與普通的數(shù)據(jù)類型一樣，都可以保存在數(shù)據(jù)結(jié)構(gòu)中，可以作為過程的參數(shù)等。

Move使用模塊對資源進行管理。首先，資源的類型結(jié)構(gòu)定義在模塊中，每個資源都必然定義在某個模塊中。其次，模塊中還定義了能夠操作該資源的過程，例如創(chuàng)建、修改、銷毀等。開發(fā)者可以且只能通過模塊提供的公開過程來對資源進行操作，不能自行編碼修改資源。也就是說，當使用資源來定義一種數(shù)字資產(chǎn)時，其所有的業(yè)務(wù)邏輯，包括訪問控制策略，均已經(jīng)在模塊中定義。而任何脫離、繞過該模塊對數(shù)字資產(chǎn)進行的操作都是非法的、不被允許的。

在Libra區(qū)塊鏈中，Libra代幣也被定義為一個資源類型，與用戶自定義的資源一致。這意味著自定義數(shù)字資產(chǎn)與Libra代幣都受到了同樣的保護。

不過，需要注意的是，Move語言對數(shù)字資產(chǎn)提供的安全性約束僅限于模塊之外，模塊內(nèi)部的安全性約束仍然需要開發(fā)者自行保證。

靈活性

Move語言的另一個特點是其為Libra提供了更高的靈活性，主要包含以下兩個方面。為便于理解，下文使用以太坊及Solidity語言作比較。

交易腳本

以太坊的交易中，包含了目標智能合約的地址，以及提供給目標智能合約的輸入數(shù)據(jù)。如果使用Solidity語言，則該輸入數(shù)據(jù)的內(nèi)容為函數(shù)簽名以及參數(shù)列表。即，以太坊中的一筆交易，實質(zhì)上是調(diào)用了一個合約的一個接口（不考慮合約間的調(diào)用）。

在Libra的交易中，取而代之的是交易腳本。交易腳本是一段完整的、任意內(nèi)容的Move程序。在交易腳本中，可以調(diào)用已經(jīng)發(fā)布在賬本狀態(tài)中的模塊的過程若干次，并基于調(diào)用的結(jié)果做一些額外的本地處理，例如簡單的控制流等。

交易腳本為Libra提供了極大的靈活性。用戶不僅可以像以太坊那樣，調(diào)用某個模塊的中的過程，還可以很輕易地執(zhí)行一些一次性的行為。例如，一次性將某個代幣轉(zhuǎn)賬給多個人，即使該代幣的模塊沒有提供批量轉(zhuǎn)賬的過程。

模塊系統(tǒng)

以太坊和Libra均使用了基于賬戶的賬本狀態(tài)。

在以太坊中，賬戶分為用戶賬戶和合約賬戶。用戶賬戶不包含數(shù)據(jù)（以太幣除外）。合約賬戶中，既包含了代碼，又包含了數(shù)據(jù)。從面向?qū)ο蟮慕嵌葋砜?，以太坊的智能合約就像是單例對象。由于數(shù)據(jù)無法直接保存在用戶賬戶中，以太坊上的大多數(shù)數(shù)字資產(chǎn)，都實現(xiàn)了一個單獨的ERC20 Token合約，在其中包含了所有用戶的資產(chǎn)信息。

Libra中可以利用Move模塊實現(xiàn)類似智能合約的功能。但Move模塊與以太坊中的智能合約在設(shè)計上并不相同，要更為靈活。Move模塊僅包含代碼（包括資源結(jié)構(gòu)定義和過程），而數(shù)據(jù)保存在資源中。雖然對資源的操作需要通過模塊中的過程來進行，但二者并沒有捆綁在一起。同一類型的資源可以有若干個，并且發(fā)布在不同的賬戶下。因此，在Libra中，數(shù)字資產(chǎn)保存在用戶自己的賬戶下，而不是像以太坊一樣集中保存。此外，可以在一個Move模塊中定義多種資源類型結(jié)構(gòu)。

雖然Move中模塊、資源、過程的關(guān)系與面向?qū)ο缶幊讨蓄?、對象、方法的關(guān)系有些相像，但實際上有很大的區(qū)別。Move模塊的設(shè)計更像是函數(shù)式編程的風格。

安全性

Move在設(shè)計時充分考慮了安全性，不符合安全性要求的Move程序?qū)痪苤T外。

類型化的字節(jié)碼

Move必須拒絕不滿足關(guān)鍵安全屬性（如資源安全性、類型安全性、內(nèi)存安全性等）的程序，因此需要在程序執(zhí)行之前進行鏈上驗證。為此，Move采用了類型化的字節(jié)碼作為可執(zhí)行程序的格式。

類型化的字節(jié)碼介于高級語言和匯編語言之間。以以太坊為例，Solidity是一種高級語言，而EVM字節(jié)碼可以認為是匯編語言。Solidity中雖然也做了各種各樣的驗證，能夠保證編譯出的EVM字節(jié)碼具有一定的安全性。然而，由于EVM在執(zhí)行時所使用的是EVM字節(jié)碼，而Solidity對安全性的保證實際上發(fā)生在編譯過程中，若要進行鏈上驗證，則必須把編譯過程放到鏈上。否則，攻擊者完全可以繞過Solidity，直接編寫具有漏洞的EVM字節(jié)碼。一方面，編譯過程在鏈上進行勢必會對性能造成影響。另一方面，EVM字節(jié)碼缺乏數(shù)據(jù)類型信息，難以進行驗證。綜上所述，采用類型化的字節(jié)碼，既提供了安全保證，也避免了編譯帶來的性能損耗。

更利于靜態(tài)驗證的設(shè)計

出于計算成本的考慮，Move的鏈上驗證僅包含了部分關(guān)鍵的安全屬性。除了鏈上驗證，Move也被設(shè)計為支持高級的鏈下靜態(tài)驗證。為此，Move做了以下設(shè)計，使其比大多數(shù)通用語言更適合靜態(tài)驗證。

首先，Move不支持動態(tài)調(diào)度。所有調(diào)用的目標都能夠被靜態(tài)確定。這使得Move不必構(gòu)建復(fù)雜的調(diào)用圖，就能精確地推斷出程序的執(zhí)行效果。

其次，有限的可變性。Move借鑒了Rust的“借用檢查”機制，確保每個值在同一時刻最多有一個可變引用。

第三，模塊性。Move模塊對資源進行了強制的數(shù)據(jù)抽象和關(guān)鍵操作本地化。也就是說，對于模塊以外的程序來說，每個資源都是一個黑盒。外部代碼無法得知資源內(nèi)部的細節(jié)，只能通過模塊的公開過程對資源進行操作。

虛擬機

字節(jié)碼解釋器

Move字節(jié)碼解釋器是基于堆棧的，與CLR和JVM類似。指令使用堆棧中的操作數(shù)，并在執(zhí)行后將結(jié)果推入堆棧。

Move支持六大類字節(jié)碼指令：

· 用于將數(shù)據(jù)從局部變量復(fù)制、移動到堆棧的操作，如CopyLoc、MoveLoc等，以及用于將數(shù)據(jù)從堆棧移動到局部變量的指令，如StoreLoc。

· 對類型化堆棧值的操作，例如將常量推入堆棧，以及對堆棧操作數(shù)進行算術(shù)、邏輯運算。

· 模塊相關(guān)的內(nèi)建指令，例如：Pack和Unpack，用于創(chuàng)建、銷毀模塊的聲明類型；MoveToSender、MoveFrom，用于在帳戶下發(fā)布、取消發(fā)布模塊的類型；以及BorrowField，用于獲取對模塊中某個類型的字段的引用。

· 引用相關(guān)的指令，例如：ReadRef用于讀引用，WriteRef用于寫引用，ReleaseRef用于釋放引用，F(xiàn)reezeRef用于將可變引用轉(zhuǎn)換為不可變引用。

· 控制流操作，例如條件分支，以及過程調(diào)用和返回。

· 區(qū)塊鏈特定的內(nèi)建操作，例如獲取交易腳本的發(fā)送者地址、創(chuàng)建新帳戶等。

除此之外，Move也提供了密碼學原語，比如sha3。這些原語由標準庫的模塊實現(xiàn)，而不是字節(jié)碼指令。

字節(jié)碼驗證器

字節(jié)碼驗證器為模塊和交易腳本強制執(zhí)行安全屬性。如果不通過字節(jié)碼驗證程序，則無法發(fā)布模塊或執(zhí)行交易腳本。

字節(jié)碼驗證器主要進行三個方面的檢查。

· 結(jié)構(gòu)檢查，確保字節(jié)碼表的格式正確。通過結(jié)構(gòu)檢查，可以發(fā)現(xiàn)諸如非法表索引、重復(fù)表條目、非法類型簽名等錯誤。

· 語義檢查，用于發(fā)現(xiàn)非法參數(shù)、危險引用、資源復(fù)制等錯誤。

· 鏈接。通過將所用到的結(jié)構(gòu)類型、過程簽名與其聲明模塊關(guān)聯(lián)，從而發(fā)現(xiàn)非法調(diào)用內(nèi)部過程、過程與定義不匹配等錯誤。在此過程中，會訪問全局賬本狀態(tài)。

結(jié)論

上文對Move語言做了簡要的解讀，希望能使讀者對Move語言的主要特性、設(shè)計等有基本的了解。本文如有錯誤，請讀者不吝指正。有關(guān)于Move語言的更多細節(jié)，請閱讀Move語言的官方技術(shù)文檔