Web3 セキュリティ サービス プロバイダーである MetaTrust Labs が最近完了した調査では、イーサリアム スマート コントラクトのカスタム関数修飾子に重大なセキュリティ リスクがあることが判明しました。 ISSTA'23 のタイトルは「「保護」と「プライベート」を超えて: スマート コントラクトにおけるカスタム関数修飾子の実証的セキュリティ分析」紙で、研究チームは 62,000 以上のスマート コントラクトを調査し、バイパスされる可能性のある修飾子を含む脆弱なコントラクトを 411 件発見しました。これらの問題に対処するために、メタトラストは新しく開発したツール SoMo を同社のよく知られたスマート コントラクト セキュリティ スキャン サービスに統合しました。MetaScan真ん中。

この研究の主な目的は、1 つまたは複数の保護されていないスマート コントラクト機能でバイパスできる安全でない修飾子、「バイパス可能な修飾子」を特定することです。たとえば、次の「onlyOwner」修飾子は、パブリック関数 Mining24() を呼び出すことでバイパスできます。したがって、攻撃者は、onlyOwner 修飾子によって保護されている機密機能を悪用する可能性があります。

これらの脆弱性を特定するために、研究者らは新しいツール SoMo を開発しました。このツールは、すべての修飾子関連の制御/データ フローをカバーする修飾子依存関係グラフ (MDG) を構築し、MDG 上でシンボリック パス制約を生成し、各候補エントリ関数を反復的にテストします。結果は、SoMo が大規模な分析に効果的であることを示しています。データセットの 62464 件の契約の精度は 91.2% です。

この調査では、以下の表に示すように、アクセス制御、財務関連、契約状態、その他のチェックなど、現実世界のシナリオにおける修飾子の主な使用法も明らかになりました。これらの調査結果は、開発者がセキュリティーを重視した操作に修飾子を利用することが多いものの、十分に保護されていない可能性があることを示唆しています。

全体として、ブロックチェーン技術の安全性を確保するためには、やるべきことがまだ多く残っています。より優れたプログラミング技術とテストツールを使用することで、スマートコントラクトへの攻撃を防ぎ、デジタルトランザクションを保護することができます。さまざまなアプリケーションにブロックチェーン テクノロジーを採用する企業や組織が増えるにつれ、スマート コントラクトの安全性を確保することが重要になります。この研究はその目標に向けた重要な一歩です。

ブロックチェーン技術は多くの業界に革命をもたらすと期待されていますが、セキュリティは常に最優先事項である必要があります。 MetaScan などのツールを使用し、安全なプログラミングのベスト プラクティスに従うことで、ブロックチェーン上のデジタル トランザクションを保護できます。

Follow Us

Twitter: @MetaTrustLabs

Website: metatrust.io