SoMo: เครื่องมือนวัตกรรมในการระบุตัวแก้ไขฟังก์ชันที่ไม่ปลอดภัยใน Ethereum Smart Contract

特邀专栏作者

2023-05-25 10:01

บทความนี้มีประมาณ 679 คำ การอ่านทั้งหมดใช้เวลาประมาณ 1 นาที

ด้วยการใช้เทคนิคการเขียนโปรแกรมและเครื่องมือทดสอบที่ดีขึ้น เราสามารถช่วยป้องกันการโจม

การศึกษาที่เพิ่งเสร็จสิ้นโดยผู้ให้บริการความปลอดภัย Web3 MetaTrust Labs พบความเสี่ยงด้านความปลอดภัยที่สำคัญในการปรับเปลี่ยนฟังก์ชันที่กำหนดเองในสัญญาอัจฉริยะของ Ethereum ISSTA'23 เรื่อง "นอกเหนือจาก 'การป้องกัน' และ 'ส่วนตัว': การวิเคราะห์ความปลอดภัยเชิงประจักษ์ของตัวดัดแปลงฟังก์ชันแบบกำหนดเองในสัญญาอัจฉริยะ"กระดาษใน ทีมวิจัยได้ตรวจสอบสัญญาอัจฉริยะมากกว่า 62,000 รายการ และพบสัญญาที่มีช่องโหว่ 411 รายการซึ่งมีตัวดัดแปลงที่สามารถข้ามไปได้ เพื่อแก้ไขปัญหาเหล่านี้ MetaTrust ได้รวมเครื่องมือ SoMo ที่พัฒนาขึ้นใหม่เข้ากับบริการสแกนความปลอดภัยของสัญญาอัจฉริยะที่เป็นที่รู้จักMetaScanกลาง.

จุดประสงค์หลักของการวิจัยนี้คือเพื่อระบุตัวดัดแปลงที่ไม่ปลอดภัย "ตัวดัดแปลงที่ข้ามได้" ซึ่งสามารถข้ามได้ในฟังก์ชันสัญญาอัจฉริยะที่ไม่มีการป้องกันอย่างน้อยหนึ่งฟังก์ชัน ตัวอย่างเช่น โมดิฟายเออร์ "onlyOwner" ต่อไปนี้สามารถข้ามได้โดยการเรียกใช้ฟังก์ชันสาธารณะ Mining24() ดังนั้น ผู้โจมตีสามารถใช้ประโยชน์จากฟังก์ชันที่ละเอียดอ่อนซึ่งได้รับการปกป้องโดยตัวแก้ไข onlyOwner

ในการระบุช่องโหว่เหล่านี้ นักวิจัยได้พัฒนาเครื่องมือใหม่ SoMo ซึ่งสร้างกราฟการขึ้นต่อกันของโมดิฟายเออร์ (MDG) เพื่อครอบคลุมการควบคุม/โฟลว์ข้อมูลที่เกี่ยวข้องกับโมดิฟายเออร์ทั้งหมด สร้างข้อจำกัดพาธสัญลักษณ์บน MDG และทดสอบฟังก์ชันรายการผู้สมัครแต่ละรายการซ้ำๆ ผลปรากฏว่า SoMo มีประสิทธิภาพในการวิเคราะห์ขนาดใหญ่ชุดข้อมูลความแม่นยำ 91.2% สำหรับ 62,464 สัญญาใน.

งานวิจัยนี้ยังเปิดเผยการใช้งานหลักของตัวดัดแปลงในสถานการณ์จริง รวมถึงการควบคุมการเข้าถึง ที่เกี่ยวข้องกับการเงิน สถานะของสัญญา และการตรวจสอบเบ็ดเตล็ดดังแสดงในตารางด้านล่าง การค้นพบนี้ชี้ให้เห็นว่าตัวดัดแปลงมักถูกนำไปใช้โดยนักพัฒนาสำหรับการดำเนินการที่คำนึงถึงความปลอดภัย แต่อาจไม่ได้รับการปกป้องที่ดีพอ

โดยรวมแล้ว ยังมีงานต้องทำอีกมากเพื่อให้แน่ใจว่าเทคโนโลยีบล็อกเชนนั้นปลอดภัย ด้วยการใช้เทคนิคการเขียนโปรแกรมและเครื่องมือทดสอบที่ดีขึ้น เราสามารถช่วยป้องกันการโจมตีสัญญาอัจฉริยะและรักษาความปลอดภัยของธุรกรรมดิจิทัลของเราได้ เนื่องจากธุรกิจและองค์กรต่าง ๆ นำเทคโนโลยีบล็อกเชนมาใช้กับแอพพลิเคชั่นต่าง ๆ มากขึ้น จึงจำเป็นอย่างยิ่งที่จะต้องแน่ใจว่าสัญญาอัจฉริยะมีความปลอดภัย การศึกษานี้เป็นก้าวสำคัญสู่เป้าหมายนั้น

ในขณะที่เทคโนโลยีบล็อกเชนสัญญาว่าจะปฏิวัติอุตสาหกรรมต่างๆ มากมาย การรักษาความปลอดภัยควรมีความสำคัญสูงสุดเสมอ ด้วยการใช้เครื่องมือเช่น MetaScan และปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดสำหรับการเขียนโปรแกรมที่ปลอดภัย เราสามารถช่วยรักษาความปลอดภัยของธุรกรรมดิจิทัลบนบล็อกเชนได้

Follow Us

Twitter: @MetaTrustLabs

Website: metatrust.io

ความปลอดภัย

สัญญาที่ชาญฉลาด

ยินดีต้อนรับเข้าร่วมชุมชนทางการของ Odaily

กลุ่มสมาชิก

https://t.me/Odaily_News

กลุ่มสนทนา

https://t.me/Odaily_CryptoPunk

บัญชีทางการ

https://twitter.com/OdailyChina