Analyse des vulnérabilités du compilateur Solidity et stratégies d'atténuation
Le compilateur est l'un des composants fondamentaux des systèmes informatiques modernes, responsable de la conversion du code source des langages de programmation de haut niveau en instructions exécutables par l'ordinateur. Bien que les développeurs et les responsables de la sécurité se concentrent généralement davantage sur la sécurité du code des applications, la sécurité du compilateur lui-même ne doit pas être négligée. En tant que programme informatique, le compilateur peut également présenter des vulnérabilités de sécurité, ce qui peut, dans certains cas, entraîner des risques de sécurité graves.
Le rôle du compilateur Solidity est de convertir le code des contrats intelligents en code d'instructions pour la machine virtuelle Ethereum (EVM). Contrairement aux vulnérabilités de l'EVM lui-même, les vulnérabilités du compilateur Solidity affectent principalement les développeurs de contrats et ne mettent pas directement en péril la sécurité du réseau Ethereum. Cependant, les vulnérabilités du compilateur peuvent entraîner une génération de code EVM qui ne correspond pas aux attentes des développeurs, ce qui peut entraîner de lourdes pertes d'actifs.
Voici quelques exemples réels de vulnérabilités des compilateurs Solidity:
SOL-2016-9 HighOrderByteCleanStorage
La vulnérabilité existe dans les versions antérieures du compilateur Solidity (>=0.1.6 <0.4.4). Dans certains cas, le compilateur n'a pas réussi à nettoyer correctement les bits supérieurs après un dépassement d'entier, entraînant une modification accidentelle de la valeur des variables de stockage.
SOL-2022-4 Effets secondaires de la mémoire en InlineAssembly
Cette vulnérabilité affecte les versions de compilateur >=0.8.13 <0.8.15. En raison d'un problème d'optimisation des blocs d'assemblage en ligne par le compilateur, certaines opérations d'écriture en mémoire peuvent être supprimées par erreur, entraînant un comportement anormal du programme.
SOL-2022-6 Débordement de l'en-tête AbiReencoding avec nettoyage de tableau statique
Cette vulnérabilité existe dans les compilateurs des versions >= 0.5.8 < 0.8.16. Lors de l'opération abi.encode sur un tableau de type calldata, le compilateur efface incorrectement certaines données, entraînant la modification de données adjacentes, ce qui cause une incohérence des données après l'encodage et le décodage.
Pour faire face aux risques liés aux vulnérabilités du compilateur Solidity, les développeurs et les experts en sécurité peuvent prendre les mesures suivantes :
Pour les développeurs :
Utilisez une version plus récente du compilateur Solidity, car les nouvelles versions corrigent généralement des problèmes de sécurité connus.
Améliorer les cas de test unitaire, augmenter la couverture du code, aide à découvrir les comportements anormaux introduits par le compilateur.
Essayez d'éviter d'utiliser des opérations susceptibles de poser des problèmes, telles que l'assemblage en ligne et le codage/décodage ABI complexe.
Pour les agents de sécurité :
Lors d'un audit de sécurité, ne négligez pas les risques de sécurité que le compilateur pourrait introduire.
Dans le processus de développement interne, encouragez l'équipe de développement à mettre à jour rapidement la version du compilateur et à envisager d'introduire une vérification automatique de la version du compilateur dans le processus CI/CD.
Restez vigilant face aux vulnérabilités des compilateurs, mais ne paniquez pas excessivement. La plupart des vulnérabilités ne se déclenchent que dans des modèles de code spécifiques, et il est nécessaire d'évaluer l'impact réel en fonction des circonstances.
Quelques ressources pratiques :
Alerte de sécurité publiée régulièrement par l'équipe Solidity
Liste des vulnérabilités mise à jour régulièrement dans le dépôt officiel de Solidity
Liste des vulnérabilités des compilateurs pour les différentes versions, pouvant être utilisée pour la vérification automatique dans le processus CI/CD.
L'icône d'avertissement en haut à droite de la page du code de contrat Etherscan peut indiquer les vulnérabilités de sécurité présentes dans la version actuelle du compilateur.
En comprenant les caractéristiques et les risques des vulnérabilités des compilateurs Solidity, en prenant des mesures de prévention appropriées, les développeurs et les professionnels de la sécurité peuvent mieux protéger la sécurité des contrats intelligents et réduire les risques de perte d'actifs potentiels.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
16 J'aime
Récompense
16
7
Partager
Commentaire
0/400
PessimisticOracle
· Il y a 14m
Ce bug est vraiment vrai !
Voir l'originalRépondre0
AirdropHunterKing
· Il y a 12h
Après avoir testé le contrat pendant si longtemps, je suis toujours tombé dedans et j'ai mangé un tas d'air. Les frères, ne copiez pas l'ancien contrat !
Voir l'originalRépondre0
Layer3Dreamer
· Il y a 15h
théoriquement parlant, les bugs de compilateur = des hypothèses de confiance récursives tbh
Voir l'originalRépondre0
IntrovertMetaverse
· Il y a 15h
Vérifiez l'ensemble du débordement supérieur et inférieur !
Voir l'originalRépondre0
NftDeepBreather
· Il y a 15h
Cette vulnérabilité est tellement répandue.
Voir l'originalRépondre0
RunWhenCut
· Il y a 15h
Encore un vieux cliché de vulnérabilité du compilateur, c'est agaçant.
Voir l'originalRépondre0
FarmToRiches
· Il y a 16h
Si tu ne rédiges pas le test en entier, prépare-toi à tout perdre.
Analyse des vulnérabilités du compilateur Solidity et des stratégies d'atténuation
Analyse des vulnérabilités du compilateur Solidity et stratégies d'atténuation
Le compilateur est l'un des composants fondamentaux des systèmes informatiques modernes, responsable de la conversion du code source des langages de programmation de haut niveau en instructions exécutables par l'ordinateur. Bien que les développeurs et les responsables de la sécurité se concentrent généralement davantage sur la sécurité du code des applications, la sécurité du compilateur lui-même ne doit pas être négligée. En tant que programme informatique, le compilateur peut également présenter des vulnérabilités de sécurité, ce qui peut, dans certains cas, entraîner des risques de sécurité graves.
Le rôle du compilateur Solidity est de convertir le code des contrats intelligents en code d'instructions pour la machine virtuelle Ethereum (EVM). Contrairement aux vulnérabilités de l'EVM lui-même, les vulnérabilités du compilateur Solidity affectent principalement les développeurs de contrats et ne mettent pas directement en péril la sécurité du réseau Ethereum. Cependant, les vulnérabilités du compilateur peuvent entraîner une génération de code EVM qui ne correspond pas aux attentes des développeurs, ce qui peut entraîner de lourdes pertes d'actifs.
Voici quelques exemples réels de vulnérabilités des compilateurs Solidity:
La vulnérabilité existe dans les versions antérieures du compilateur Solidity (>=0.1.6 <0.4.4). Dans certains cas, le compilateur n'a pas réussi à nettoyer correctement les bits supérieurs après un dépassement d'entier, entraînant une modification accidentelle de la valeur des variables de stockage.
Cette vulnérabilité affecte les versions de compilateur >=0.8.13 <0.8.15. En raison d'un problème d'optimisation des blocs d'assemblage en ligne par le compilateur, certaines opérations d'écriture en mémoire peuvent être supprimées par erreur, entraînant un comportement anormal du programme.
Cette vulnérabilité existe dans les compilateurs des versions >= 0.5.8 < 0.8.16. Lors de l'opération abi.encode sur un tableau de type calldata, le compilateur efface incorrectement certaines données, entraînant la modification de données adjacentes, ce qui cause une incohérence des données après l'encodage et le décodage.
Pour faire face aux risques liés aux vulnérabilités du compilateur Solidity, les développeurs et les experts en sécurité peuvent prendre les mesures suivantes :
Pour les développeurs :
Pour les agents de sécurité :
Quelques ressources pratiques :
En comprenant les caractéristiques et les risques des vulnérabilités des compilateurs Solidity, en prenant des mesures de prévention appropriées, les développeurs et les professionnels de la sécurité peuvent mieux protéger la sécurité des contrats intelligents et réduire les risques de perte d'actifs potentiels.