Một nghiên cứu hoàn thành gần đây của nhà cung cấp dịch vụ bảo mật Web3 MetaTrust Labs đã phát hiện ra rủi ro bảo mật đáng kể trong các công cụ sửa đổi chức năng tùy chỉnh trong hợp đồng thông minh Ethereum. ISSTA'23 có tiêu đề "Vượt ra ngoài 'Được bảo vệ' và 'Riêng tư': Phân tích bảo mật theo kinh nghiệm về các công cụ sửa đổi chức năng tùy chỉnh trong hợp đồng thông minh"giấyVào năm 2017, nhóm nghiên cứu đã kiểm tra hơn 62.000 hợp đồng thông minh và tìm thấy 411 hợp đồng dễ bị tổn thương có chứa các công cụ sửa đổi có thể bị bỏ qua. Để giải quyết những vấn đề này, MetaTrust đã tích hợp công cụ SoMo mới được phát triển vào dịch vụ quét bảo mật hợp đồng thông minh nổi tiếng của mìnhMetaScanở giữa.

Mục đích chính của nghiên cứu này là xác định các công cụ sửa đổi không an toàn, "công cụ sửa đổi có thể bỏ qua", có thể được bỏ qua trong một hoặc nhiều chức năng hợp đồng thông minh không được bảo vệ. Ví dụ: có thể bỏ qua công cụ sửa đổi "chỉOwner" sau đây bằng cách gọi hàm công khai Mining24(). Do đó, kẻ tấn công có thể khai thác các chức năng nhạy cảm được bảo vệ bởi công cụ sửa đổi onlyOwner.

Để xác định các lỗ hổng này, các nhà nghiên cứu đã phát triển một công cụ mới, SoMo, công cụ này xây dựng biểu đồ phụ thuộc bộ điều chỉnh (MDG) để bao gồm tất cả các luồng dữ liệu/kiểm soát liên quan đến bộ điều chỉnh, tạo ra các ràng buộc đường dẫn tượng trưng trên MDG và kiểm tra lặp lại từng chức năng nhập ứng viên. Kết quả cho thấy SoMo có hiệu quả trong việc phân tích lớntập dữ liệuĐộ chính xác 91,2% cho 62464 hợp đồng bằng .

Nghiên cứu này cũng tiết lộ cách sử dụng chính của công cụ sửa đổi trong các tình huống trong thế giới thực, bao gồm kiểm soát truy cập, liên quan đến tài chính, trạng thái hợp đồng và kiểm tra linh tinh, như trong bảng bên dưới. Những phát hiện này cho thấy rằng các công cụ sửa đổi thường được các nhà phát triển tận dụng cho các hoạt động nhạy cảm về bảo mật, nhưng chúng có thể không được bảo vệ tốt.

Nhìn chung, vẫn còn nhiều việc phải làm để đảm bảo rằng công nghệ blockchain an toàn và bảo mật. Bằng cách sử dụng các kỹ thuật lập trình và công cụ kiểm tra tốt hơn, chúng tôi có thể giúp ngăn chặn các cuộc tấn công vào hợp đồng thông minh và bảo mật các giao dịch kỹ thuật số của mình. Khi nhiều doanh nghiệp và tổ chức áp dụng công nghệ chuỗi khối cho các ứng dụng khác nhau, điều quan trọng là phải đảm bảo rằng các hợp đồng thông minh được an toàn và bảo mật. Nghiên cứu này là một bước quan trọng hướng tới mục tiêu đó.

Mặc dù công nghệ chuỗi khối hứa hẹn sẽ cách mạng hóa nhiều ngành công nghiệp, nhưng bảo mật phải luôn là ưu tiên hàng đầu. Bằng cách sử dụng các công cụ như MetaScan và tuân theo các phương pháp hay nhất để lập trình bảo mật, chúng tôi có thể giúp bảo mật các giao dịch kỹ thuật số của mình trên chuỗi khối.

Follow Us

Twitter: @MetaTrustLabs

Website: metatrust.io