Analyse des vulnérabilités du compilateur Solidity et mesures de réponse
Un compilateur est l'un des composants fondamentaux des systèmes informatiques modernes, dont la fonction est de traduire le code source des langages de programmation de haut niveau en instructions exécutables par l'ordinateur. Bien que la plupart des développeurs et des professionnels de la sécurité se concentrent généralement sur la sécurité du code des applications, la sécurité du compilateur lui-même est tout aussi importante. Les vulnérabilités des compilateurs peuvent entraîner des risques de sécurité graves dans des scénarios spécifiques, par exemple, lorsque le navigateur analyse et exécute du code Javascript, des vulnérabilités dans le moteur d'analyse peuvent entraîner une exécution de code à distance.
Le compilateur Solidity ne fait pas exception, des vulnérabilités de sécurité existent dans plusieurs versions. Le rôle du compilateur Solidity est de transformer le code des contrats intelligents en code d'instructions de la machine virtuelle Ethereum (EVM). Il est important de noter que les vulnérabilités du compilateur Solidity sont différentes de celles de l'EVM elle-même. Les vulnérabilités de l'EVM peuvent affecter l'ensemble du réseau Ethereum, tandis que les vulnérabilités du compilateur Solidity affectent principalement les développeurs de contrats intelligents et les utilisateurs.
Une des dangers des vulnérabilités du compilateur Solidity est qu'elles peuvent entraîner un code EVM généré qui ne correspond pas aux attentes du développeur. Étant donné que les contrats intelligents concernent souvent les actifs cryptographiques des utilisateurs, tout bug causé par le compilateur pourrait avoir des conséquences graves. Ce type de problème est difficile à détecter par une simple révision de code et nécessite une analyse combinée des versions spécifiques du compilateur et des modèles de code.
Voici quelques exemples réels de vulnérabilités de compilateur Solidity :
SOL-2016-9 HighOrderByteCleanStorage :
Cette vulnérabilité existe dans les versions antérieures du compilateur Solidity (\u003e=0.1.6 \u003c0.4.4). Comme le compilateur ne gère pas correctement l'opération de suppression des bits supérieurs après un débordement d'entier, cela peut entraîner une modification accidentelle des valeurs des variables adjacentes.
SOL-2022-4 InlineAssemblyMemorySideEffects:
Cette vulnérabilité existe dans les compilateurs de versions >=0.8.13 et <0.8.15. En raison d'un traitement incorrect du code d'assemblage en ligne pendant l'optimisation du compilateur, certaines opérations mémoires peuvent être incorrectement optimisées.
SOL-2022-6 AbiReencodingHeadOverflowWithStaticArrayCleanup :
Cette vulnérabilité affecte les compilateurs de la version >= 0.5.8 < 0.8.16. Lors de l'opération abi.encode sur un tableau de type calldata, il se peut que certaines données soient incorrectement nettoyées, entraînant la modification de données adjacentes.
Concernant les vulnérabilités du compilateur Solidity, l'équipe de sécurité blockchain de Cobo propose les recommandations suivantes :
Pour les développeurs :
Utiliser une version plus récente du compilateur Solidity
Améliorer les cas de test unitaire
Évitez d'utiliser des assemblages en ligne, des opérations de décodage/encodage ABI complexes, etc.
Utilisez avec prudence les nouvelles fonctionnalités linguistiques et les fonctionnalités expérimentales
Pour le personnel de sécurité :
Considérer les risques que le compilateur pourrait introduire lors de l'audit de sécurité.
Pousser la mise à niveau de la version du compilateur dans le processus de développement
Introduire une vérification automatique de la version du compilateur dans le processus CI/CD
Évaluer l'impact réel sur la sécurité des vulnérabilités du compilateur en fonction des spécificités du projet
Quelques ressources pratiques :
Alerte de sécurité publiée par Solidity
Liste des bugs mise à jour du dépôt officiel de Solidity
Liste des bugs des compilateurs de différentes versions
Fonction de notification des vulnérabilités du compilateur fournie par Etherscan
En se concentrant sur la sécurité des compilateurs, en améliorant les tests, en utilisant prudemment des fonctionnalités complexes et en mettant à jour régulièrement les versions des compilateurs, les développeurs et les professionnels de la sécurité peuvent efficacement réduire les risques liés aux vulnérabilités des compilateurs Solidity et améliorer la sécurité globale des contrats intelligents.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
15 J'aime
Récompense
15
6
Partager
Commentaire
0/400
Rekt_Recovery
· 07-12 06:08
rip aux fonds de tout le monde... j'y ai été, tout perdu à cause de bugs de compilateur en 2018 smh
Voir l'originalRépondre0
RunWhenCut
· 07-12 05:51
Que vous testiez ou non, vous devez prendre les gens pour des idiots.
Voir l'originalRépondre0
FUDwatcher
· 07-12 03:11
Ce bug est vraiment effrayant, je file !
Voir l'originalRépondre0
ResearchChadButBroke
· 07-09 10:27
Le compilateur a encore des problèmes ? Je vais passer la nuit à corriger des bugs.
Voir l'originalRépondre0
MoonlightGamer
· 07-09 10:19
Le code a été vérifié, il n'y a pas de problème.
Voir l'originalRépondre0
GasGuzzler
· 07-09 09:58
Je suis encore en train d'écrire des smart contracts, ça sent un peu le pigeons.
Analyse des vulnérabilités du compilateur Solidity et stratégies de réponse
Analyse des vulnérabilités du compilateur Solidity et mesures de réponse
Un compilateur est l'un des composants fondamentaux des systèmes informatiques modernes, dont la fonction est de traduire le code source des langages de programmation de haut niveau en instructions exécutables par l'ordinateur. Bien que la plupart des développeurs et des professionnels de la sécurité se concentrent généralement sur la sécurité du code des applications, la sécurité du compilateur lui-même est tout aussi importante. Les vulnérabilités des compilateurs peuvent entraîner des risques de sécurité graves dans des scénarios spécifiques, par exemple, lorsque le navigateur analyse et exécute du code Javascript, des vulnérabilités dans le moteur d'analyse peuvent entraîner une exécution de code à distance.
Le compilateur Solidity ne fait pas exception, des vulnérabilités de sécurité existent dans plusieurs versions. Le rôle du compilateur Solidity est de transformer le code des contrats intelligents en code d'instructions de la machine virtuelle Ethereum (EVM). Il est important de noter que les vulnérabilités du compilateur Solidity sont différentes de celles de l'EVM elle-même. Les vulnérabilités de l'EVM peuvent affecter l'ensemble du réseau Ethereum, tandis que les vulnérabilités du compilateur Solidity affectent principalement les développeurs de contrats intelligents et les utilisateurs.
Une des dangers des vulnérabilités du compilateur Solidity est qu'elles peuvent entraîner un code EVM généré qui ne correspond pas aux attentes du développeur. Étant donné que les contrats intelligents concernent souvent les actifs cryptographiques des utilisateurs, tout bug causé par le compilateur pourrait avoir des conséquences graves. Ce type de problème est difficile à détecter par une simple révision de code et nécessite une analyse combinée des versions spécifiques du compilateur et des modèles de code.
Voici quelques exemples réels de vulnérabilités de compilateur Solidity :
SOL-2016-9 HighOrderByteCleanStorage : Cette vulnérabilité existe dans les versions antérieures du compilateur Solidity (\u003e=0.1.6 \u003c0.4.4). Comme le compilateur ne gère pas correctement l'opération de suppression des bits supérieurs après un débordement d'entier, cela peut entraîner une modification accidentelle des valeurs des variables adjacentes.
SOL-2022-4 InlineAssemblyMemorySideEffects: Cette vulnérabilité existe dans les compilateurs de versions >=0.8.13 et <0.8.15. En raison d'un traitement incorrect du code d'assemblage en ligne pendant l'optimisation du compilateur, certaines opérations mémoires peuvent être incorrectement optimisées.
SOL-2022-6 AbiReencodingHeadOverflowWithStaticArrayCleanup : Cette vulnérabilité affecte les compilateurs de la version >= 0.5.8 < 0.8.16. Lors de l'opération abi.encode sur un tableau de type calldata, il se peut que certaines données soient incorrectement nettoyées, entraînant la modification de données adjacentes.
Concernant les vulnérabilités du compilateur Solidity, l'équipe de sécurité blockchain de Cobo propose les recommandations suivantes :
Pour les développeurs :
Pour le personnel de sécurité :
Quelques ressources pratiques :
En se concentrant sur la sécurité des compilateurs, en améliorant les tests, en utilisant prudemment des fonctionnalités complexes et en mettant à jour régulièrement les versions des compilateurs, les développeurs et les professionnels de la sécurité peuvent efficacement réduire les risques liés aux vulnérabilités des compilateurs Solidity et améliorer la sécurité globale des contrats intelligents.