Análise de vulnerabilidades do compilador Solidity e medidas de prevenção
O compilador é um dos componentes básicos dos sistemas de computação modernos, e sua principal função é converter o código-fonte da linguagem de programação de alto nível em código de instrução executável pelo computador. Embora a maioria dos desenvolvedores e profissionais de segurança geralmente se preocupe com a segurança do código do aplicativo, a segurança do próprio compilador também não deve ser negligenciada. De fato, o compilador, como um programa de computador, também pode ter vulnerabilidades de segurança, o que em certos casos pode trazer sérios riscos de segurança.
O papel do compilador Solidity é converter o código do contrato inteligente em código de instrução da Máquina Virtual Ethereum (EVM). Ao contrário das vulnerabilidades da própria EVM, as vulnerabilidades do compilador Solidity referem-se principalmente a problemas que ocorrem durante o processo de conversão de código. Este tipo de vulnerabilidade não afeta diretamente a rede Ethereum, mas pode levar a que o código EVM gerado não corresponda às expectativas do desenvolvedor, resultando em consequências graves.
Aqui estão alguns exemplos reais de vulnerabilidades do compilador Solidity:
SOL-2016-9 HighOrderByteCleanStorage
A vulnerabilidade existe em versões iniciais do compilador Solidity (>=0.1.6 <0.4.4). Pode fazer com que variáveis de armazenamento retornem valores inesperados sem serem modificadas. Essa inconsistência pode causar sérios problemas em operações críticas, como verificação de permissões ou contabilidade de ativos.
SOL-2022-4 Efeitos Colaterais de Memória de InlineAssembly
Esta vulnerabilidade afeta compiladores das versões >=0.8.13 e <0.8.15. Ela decorre de o compilador ter removido erroneamente instruções de operação de memória que parecem redundantes, mas que na verdade são necessárias, levando a que o valor de retorno da função não corresponda ao esperado.
SOL-2022-6 Overflow de Cabeçalho de Recodificação ABI com Limpeza de Array Estático
A vulnerabilidade afeta compiladores com versões >= 0.5.8 e < 0.8.16. Durante a operação abi.encode em arrays do tipo calldata, o compilador limpou incorretamente alguns dados, resultando na modificação de dados adjacentes, o que levou a inconsistências nos dados após a codificação e decodificação.
Para enfrentar os riscos trazidos por vulnerabilidades do compilador Solidity, a equipe de segurança da blockchain Cobo propõe as seguintes recomendações:
Para os desenvolvedores:
Use uma versão mais recente do compilador Solidity
Aperfeiçoar os casos de teste de unidade, aumentar a cobertura de código
Evite usar assembly inline, operações complexas de codificação e decodificação de ABI, e use novas características e funcionalidades experimentais com cautela.
Para o pessoal de segurança:
Prestar atenção aos riscos que o compilador pode introduzir durante a auditoria de segurança
Promover a atualização da versão do compilador no processo de desenvolvimento SDL, considerando a introdução de verificações automáticas no CI/CD.
Avaliar o impacto de segurança real das vulnerabilidades do compilador com base nas circunstâncias específicas do projeto.
Alguns recursos úteis:
Alerta de segurança publicado oficialmente pela Solidity
Lista de bugs no repositório GitHub de Solidity
Dica de segurança na página de código de contrato do Etherscan
Ao focar na segurança do compilador e usar adequadamente os recursos relacionados, os desenvolvedores e profissionais de segurança podem prevenir melhor os potenciais riscos associados a vulnerabilidades do compilador Solidity, aumentando a segurança geral dos contratos inteligentes.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
18 gostos
Recompensa
18
6
Partilhar
Comentar
0/400
MEVSupportGroup
· 07-24 16:22
Um problema no compilador é um grande desastre...
Ver originalResponder0
MetaverseLandlord
· 07-24 02:50
Alerta de alta risco para a profissão de programador!
Análise de vulnerabilidades do compilador Solidity e medidas de prevenção
Análise de vulnerabilidades do compilador Solidity e medidas de prevenção
O compilador é um dos componentes básicos dos sistemas de computação modernos, e sua principal função é converter o código-fonte da linguagem de programação de alto nível em código de instrução executável pelo computador. Embora a maioria dos desenvolvedores e profissionais de segurança geralmente se preocupe com a segurança do código do aplicativo, a segurança do próprio compilador também não deve ser negligenciada. De fato, o compilador, como um programa de computador, também pode ter vulnerabilidades de segurança, o que em certos casos pode trazer sérios riscos de segurança.
O papel do compilador Solidity é converter o código do contrato inteligente em código de instrução da Máquina Virtual Ethereum (EVM). Ao contrário das vulnerabilidades da própria EVM, as vulnerabilidades do compilador Solidity referem-se principalmente a problemas que ocorrem durante o processo de conversão de código. Este tipo de vulnerabilidade não afeta diretamente a rede Ethereum, mas pode levar a que o código EVM gerado não corresponda às expectativas do desenvolvedor, resultando em consequências graves.
Aqui estão alguns exemplos reais de vulnerabilidades do compilador Solidity:
A vulnerabilidade existe em versões iniciais do compilador Solidity (>=0.1.6 <0.4.4). Pode fazer com que variáveis de armazenamento retornem valores inesperados sem serem modificadas. Essa inconsistência pode causar sérios problemas em operações críticas, como verificação de permissões ou contabilidade de ativos.
Esta vulnerabilidade afeta compiladores das versões >=0.8.13 e <0.8.15. Ela decorre de o compilador ter removido erroneamente instruções de operação de memória que parecem redundantes, mas que na verdade são necessárias, levando a que o valor de retorno da função não corresponda ao esperado.
A vulnerabilidade afeta compiladores com versões >= 0.5.8 e < 0.8.16. Durante a operação abi.encode em arrays do tipo calldata, o compilador limpou incorretamente alguns dados, resultando na modificação de dados adjacentes, o que levou a inconsistências nos dados após a codificação e decodificação.
Para enfrentar os riscos trazidos por vulnerabilidades do compilador Solidity, a equipe de segurança da blockchain Cobo propõe as seguintes recomendações:
Para os desenvolvedores:
Para o pessoal de segurança:
Alguns recursos úteis:
Ao focar na segurança do compilador e usar adequadamente os recursos relacionados, os desenvolvedores e profissionais de segurança podem prevenir melhor os potenciais riscos associados a vulnerabilidades do compilador Solidity, aumentando a segurança geral dos contratos inteligentes.