PeckSheild Jiang Xuxian: Varlık çevrimiçi olduğunda akıllı sözleşme denetlenmelidir
3 Haziran 2018'de, geliştirici topluluğu CSDN ve Lingtai Technology'nin ev sahipliği yaptığı 2018 Ethereum Teknoloji ve Uygulama Konferansı Pekin'de düzenlendi.
Bu konferans üç tema oluşturdu: Ethereum teknoloji keşfi, Ethereum endüstri uygulaması, Ethereum ekolojisi ve yönetişim. Bunların arasında Vitalik, toplantıda planın bir sonraki aşamasını ve uygulama adımlarını açıkladı ve bir kez daha Casper'ın nihai hedefinin Ethereum'un tüm ağın istikrarını korumak için tamamen PoS'ye güvenmesini sağlamak olduğunu vurguladı. Ayrıca Vitalik, izleyicilere parçalama teknolojisini tanıttı ve yeni bir kod tabanı türünü gösterdi.Babbitt ayrıca ayrıntılı olarak şunları bildirdi: Vitalik Buterin'in son konuşması: Casper doğrulayıcıları için 4 önemli ipucu, aksi takdirde büyük miktarda parayla karşılaşabilirler. ince!
Ek olarak, Ethereum'un sürekli popülaritesi ile birlikte, son zamanlarda sık sık akıllı sözleşme güvenlik açıkları da herkesin dikkatini Ethereum'un ekolojik güvenliğine çekmiştir. Eski 360 baş bilim adamı Jiang Xuxian, şimdi PeckShield'in kurucusu ve CEO'su, "Code Is Hukuk: Ethereum'un mevcut ekolojik durumunu, akıllı sözleşmelerin güvenlik sorunlarını ve sonraki adımları tanıtan Ethereum akıllı sözleşmelerinin karşılaştığı tehditler ve zorluklar üzerine bir konuşma. Aşağıda bazı görüşlerin bir derlemesi bulunmaktadır:
1. Ethereum ekolojisinin mevcut durumu
Şu anda Ethereum ekosisteminde, 2017'de 1.000'den fazla ademi merkeziyetçi uygulama konuşlandırıldı ve piyasaya sürüldü ve aynı anda çeşitli borsalarda alınıp satılabilen 700'den fazla token.
Bu ekosistem, Ethereum ekosistemine her gün katılan ortalama 100.000 yeni kullanıcıya sahip ve Ethereum'daki ortalama günlük işlem 1 milyonu aşıyor.Bu çok şaşırtıcı bir veri.Ayrıca topluluğun çok dinamik olduğunu gösteriyor ve neden şimdi açıklıyor Dijital kripto para piyasası çok sıcak.
CoinMarketCap'in verilerine göre 1.640 sanal para biriminin pazar büyüklüğü 330 milyar ABD dolarını aştı.Grişmiş milli hasılaya kıyasla mevcut pazar büyüklüğü dünyada 28. sırada yer aldı ve bu pazarın genişlemesi Sebebin bir kısmı, Ethereum'un konuşlandırılmasından, özellikle de Ethereum'daki benzersiz token verilmesinden kaynaklanıyor.
İkincisi, akıllı sözleşmeler sorunu
Verilen her bir token, Ethereum'da akıllı bir sözleşme uygulayacak ve akıllı sözleşme, tokenlerin verilmesini ve karşılıklı dönüşümünü kontrol ediyor.
İşte Ağustos 2015'ten en son aya kadar olan veriler Bu veriler her ay yeni devreye alınan akıllı sözleşme verilerini gösteriyor. Jiang Tao, Ethereum için en popüler zamanın Çinli geliştiricilerin 2017'nin ikinci yarısında katıldığı zamandan bahsetti. Akıllı sözleşme verileri Mayıs ayında önemli bir büyüme kazanmaya başladı.Eylül 2017'de ulusal politika denetimi nedeniyle düşüşe başladı, ancak 2017 Ekim 2010'daki veriler tekrar arttı ve ardından yavaş yavaş stabilize oldu. 2018 Nisan'ındaki veriler yavaş yavaş düşmeye başladı.
Bu gelişmenin ardında, görmek istemediğimiz bir dizi güvenlik olayı var, bunlar da dahil olmak üzere blok zincirinin çeşitli bağlantılarında: borsalar, madencilik havuzları, cüzdanlar ve akıllı sözleşmeler. Borsa ile ilgili olarak, bu yılın Mart ayı başlarında borsaya saldırı yapıldı; geçen ay madencilik havuzuna ilişkin olarak hesaplama gücünün% 51'i tarafından saldırıya uğradı ve Nisan 2018'de cüzdanla ilgili olarak "çifte harcama fenomenine" neden oldu. En büyük web tabanlı dijital cüzdanın alan adı ele geçirildi; Akıllı sözleşmelerle ilgili olarak, ABD zincirinin akıllı sözleşme güvenlik açıkları Nisan 2018'de açıklandı ve akıllı sözleşme açıkları Mayıs ayında görünmeye devam etti.
Açıklanan güvenlik açıkları, tokenların yeniden yüklenmesini veya geri çekilmesini durdurmak için büyük borsaları doğrudan etkiliyor. Hala birçok açıklanmamış güvenlik açığı var. İlgili verileri kademeli olarak doğrulamak için ilgili proje tarafları ve ilgili borsalarla iletişime geçeceğiz.
Bu bir geliştirici topluluğu olduğu için, bundan sonra iki örnek seçeceğiz ve güvenlik açığı ilkesini sizinle paylaşacağız.Gelecekte proje geliştirme yaptığınızda, ilgili sorunlardan kaçınabilirsiniz:
TransferFlaw ile ilgili ilk boşluk, herkesin anladığı bir para çalma boşluğudur. Kullanıcının bir jetonu varsa ve arkasındaki ilgili akıllı sözleşmede güvenlik açıkları varsa, saldırgan tüm bu jetonları cüzdanınızdan aktarabilir. Savunmasız TransferFlaw burada listelenmiştir. TransferFlaw'da işlemin değeri olan üç parametre vardır. 49-51 kod satırları, bu parametrenin geçerli olduğundan emin olmak için bir ön kontrol yapar, ancak transfer 53 ve 54. satırlarda hesaplanır. Partinin bakiyesi Balans'tan kaydedilir ve aynı zamanda izin verilen transfer tutarı sayılır.Kodun 56 ve 57. satırlarında hesaplanan değişkenlere göre, mevcut işlem değeriyle karşılaştırın ve ardından iki koşulu hesaplayarak Bu işlemi devredenin, işleme izin vermek için yeterli hesap bakiyesi var Devreden işlemi yapmak için yeterli yetkiye sahip mi?
Herkes kodun 58. satırına dikkat etmeli ve basitçe paranın veya jetonların bu kısmının devralana aktarılırsa, devralanın bakiyesinin taşmayacağını doğrulamalıdır. Bu üç koşul, kod satırı koşulları karşılıyorsa işlemi yetkilendirmek için toplanır. Herkes, kod satırındaki, özellikle 56. satırdaki yargı koşullarının farkında olabilir, eğer işlemi devredenin yeterli bakiyeye sahip olduğuna karar verilirse, Denge'den gelen aşağıdaki değer değerden küçük veya ona eşit olmalıdır ve satır 57, değerden büyük veya ona eşit olmalıdır. değer, satır 58 daha büyük olmamalı, daha küçük olmalıdır.
İki dijital cüzdan var, soldaki dijital cüzdan sıradan bir kullanıcı. Kendimizin satın aldığımız 1.2345 UET tokenine sahip. Sağdaki dijital cüzdan saldırganın simgesi.Saldırganın başlangıç belirteç bakiyesi sıfır. Bu UET tokenları, saldırı gerçekleştiğinde kullanıcının dijital cüzdanından saldırganın cüzdanına nasıl aktarıldı? Bu boşluk nedeniyle, kullanıcı bu soğuk cüzdanları kullansa bile para transfer edilebilir.
İkinci güvenlik açığı, multiOverflow. MultiOverflow, her işlemi yaparsanız, nispeten yüksek işlem ücretlerine neden olabileceği anlamına gelir.Bu işlevin işlevi, birden çok işlemi bir toplu işlem halinde oluşturmaktır. İki parametresi vardır, transfer tarafı ve transfer değeri. İçinde birden fazla işlem vardır. Bir dizi halinde yapılır. 227 kod satırının uzunluğu ve 228 değeri aynıdır, bu da geçerli bir veri olur. Şu anda kaç tane tek işlem var.
249-251 kod satırları, transfer edilecek bu işlemlerin değerini eklemeye eşdeğerdir ve toplam değer elde edildikten sonra, devreden tarafın yönetimi yetkilendirmek için yeterli bakiyeye sahip olduğuna karar verilir, ancak bu boşluğun varlığı nedeniyle bu değişkenin mümkün olduğu hissedilebilir. Taşma, sıfır olabilir.
Bu değerin biri 1, diğeri 2 olmak üzere iki adrese sahip olduğunu varsayarsak, değer 2'nin 225. kuvvetine eşittir ve 256. gücü elde etmek için iki 225. güç eklenir, bu da transferörün dengesinin 1'den büyük veya 1'e eşit olması koşuluyla sonuçlanır ve sonraki döngü Tek bir işlemin değeri aktarıcıya aktarılacak ve aktaran bunu çıkaracaktır. Devreden, bu değeri 2'nin 255. üssüne eşit olarak ekleyerek sınırsız jeton oluşturma boşluğuna neden olacaktır.
3. Koruyucu önlemler ve önleyici mekanizmalar
Varlıklar çevrimiçi olduğunda, üç noktaya dikkat etmeliyiz:
İlk olarak, nispeten eksiksiz ve objektif bir akıllı sözleşme denetimi yapılmalıdır.Peckshield dahil birçok şirket bu hizmeti yapabilir.
İkincisi, çevrimiçi olduktan sonra, akıllı sözleşmenin anormal işlemlere sahip olup olmadığını izlemek gibi acil durum müdahalelerine dikkat etmelisiniz ve bunu acil durum müdahalesine koyarsanız, akıllı sözleşmenin ilk kez saldırıya uğrayıp uğramadığını bileceksiniz. Aynı zamanda, geliştirme iş projesinde bir modda yanıt verebilen bir acil durum müdahale ekibi var.
Üçüncüsü, proje tarafı ve işlem, sağlıklı bir ekoloji oluşturmak için ilgili tüm boşluk ödül planlarına sahiptir.
Akıllı bir sözleşme tasarlarken, proje tarafının bazı güvenli tasarım çözümlerine sahip olması gerekir, böylece bir güvenlik ihlali meydana geldiğinde, saldırıdan önce dengenin anlık görüntüsünü alır ve ilgili varlıkları hemen koruyabilir ve yeni akıllı sözleşmeye aktarabilir. Ek olarak, bazı akıllı sözleşmeler yükseltilebilir akıllı sözleşmeler olarak kullanılabilir.Tasarım, yükseltme mantığının yeni güvenlik açıkları oluşturmamasını sağlar. Bu, geliştirici ve proje ekibi tarafından yapılır.Aynı zamanda diğer güvenlik şirketlerinin denetim güvenlik raporlarındaki tavsiyelere de başvurabilirsiniz. Bunun yararlı olacağına inanıyorum.
Telif Hakkı Bildirimi:
Yazar hakkını saklı tutar. Makale, yazarın bağımsız bakış açısıdır ve Babbitt'in görüşünü temsil etmez.
Gönderme sırasındaki Bitcoin fiyatı 49549.70
