Analisis Kerentanan Compiler Solidity dan Strategi Penanganannya
Kompiler adalah salah satu komponen dasar dari sistem komputer modern, yang bertanggung jawab untuk mengubah kode sumber bahasa pemrograman tingkat tinggi menjadi kode instruksi yang dapat dieksekusi oleh komputer. Meskipun pengembang dan personel keamanan biasanya lebih memperhatikan keamanan kode aplikasi, keamanan kompiler itu sendiri juga tidak bisa diabaikan. Sebagai program komputer, kompiler juga mungkin memiliki kerentanan keamanan, yang dalam beberapa kasus dapat membawa risiko keamanan yang serius.
Fungsi compiler Solidity adalah mengubah kode kontrak pintar menjadi kode instruksi Ethereum Virtual Machine (EVM). Berbeda dengan kerentanan EVM itu sendiri, kerentanan compiler Solidity terutama mempengaruhi pengembang kontrak, dan tidak akan langsung membahayakan keamanan jaringan Ethereum. Namun, kerentanan compiler dapat menyebabkan kode EVM yang dihasilkan tidak sesuai dengan yang diharapkan pengembang, yang pada gilirannya dapat menyebabkan kerugian aset yang serius.
Berikut adalah beberapa contoh kerentanan compiler Solidity yang nyata:
SOL-2016-9 HighOrderByteCleanStorage
Kerentanan ini ada di versi awal dari compiler Solidity (>=0.1.6 <0.4.4). Dalam beberapa kasus, compiler gagal membersihkan bit tinggi setelah overflow integer dengan benar, menyebabkan nilai variabel yang disimpan secara tidak sengaja dimodifikasi.
SOL-2022-4 Efek Samping Memori InlineAssembly
Kerentanan ini mempengaruhi versi kompiler >=0.8.13 <0.8.15. Karena adanya masalah dalam optimasi blok assembly inline oleh kompiler, beberapa operasi penulisan ke memori mungkin dihapus secara salah, yang mengakibatkan perilaku program yang tidak normal.
Kerentanan ini terdapat pada versi compiler >= 0.5.8 < 0.8.16. Saat melakukan operasi abi.encode pada array tipe calldata, compiler secara keliru menghapus beberapa data, menyebabkan data yang bersebelahan diubah, sehingga data setelah pengkodean dan dekode tidak konsisten.
Untuk mengatasi risiko yang ditimbulkan oleh kerentanan compiler Solidity, pengembang dan petugas keamanan dapat mengambil langkah-langkah berikut:
Untuk pengembang:
Gunakan versi terbaru dari compiler Solidity, karena versi baru biasanya memperbaiki masalah keamanan yang diketahui.
Memperbaiki kasus uji unit, meningkatkan cakupan kode, membantu menemukan perilaku tidak normal yang diperkenalkan oleh kompiler.
Usahakan untuk menghindari penggunaan assembly inline, dekode ABI yang kompleks, dan operasi lain yang dapat menyebabkan masalah.
Untuk personel keamanan:
Saat audit keamanan, jangan abaikan risiko keamanan yang mungkin diperkenalkan oleh compiler.
Dalam proses pengembangan internal, dorong tim pengembang untuk segera meningkatkan versi compiler, dan pertimbangkan untuk memperkenalkan pemeriksaan otomatis versi compiler dalam proses CI/CD.
Waspadai kerentanan compiler, tetapi tidak perlu panik berlebihan. Sebagian besar kerentanan hanya diaktifkan dalam pola kode tertentu, dan perlu mengevaluasi dampak aktual berdasarkan situasi spesifik.
Beberapa sumber daya yang berguna:
Peringatan keamanan yang dirilis secara berkala oleh tim Solidity
Daftar kerentanan yang diperbarui secara berkala di repositori resmi Solidity
Daftar kerentanan compiler untuk berbagai versi, dapat digunakan untuk pemeriksaan otomatis dalam proses CI/CD.
Tanda peringatan di sudut kanan atas halaman kode kontrak Etherscan dapat menunjukkan adanya kerentanan keamanan pada versi compiler saat ini.
Dengan memahami karakteristik dan risiko kerentanan kompiler Solidity, pengembang dan personel keamanan dapat mengambil langkah pencegahan yang tepat untuk melindungi keamanan kontrak pintar dengan lebih baik dan mengurangi risiko potensi kehilangan aset.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
16 Suka
Hadiah
16
7
Bagikan
Komentar
0/400
PessimisticOracle
· 3menit yang lalu
Kekurangan ini sangat nyata!
Lihat AsliBalas0
AirdropHunterKing
· 12jam yang lalu
Setelah mencoba kontrak doge begitu lama, saya masih terjebak di dalamnya dan hanya mendapatkan banyak angin. Adik-adik, jangan menyalin kontrak lama ya!
Lihat AsliBalas0
Layer3Dreamer
· 15jam yang lalu
secara teoritis, bug kompilator = asumsi kepercayaan rekursif jujur saja
Lihat AsliBalas0
IntrovertMetaverse
· 15jam yang lalu
Periksa keseluruhan limpahan tinggi dan rendah!
Lihat AsliBalas0
NftDeepBreather
· 15jam yang lalu
Kekurangan ini sangat banyak.
Lihat AsliBalas0
RunWhenCut
· 15jam yang lalu
Datang lagi dengan masalah kerentanan kompiler, menyebalkan tidak?
Lihat AsliBalas0
FarmToRiches
· 15jam yang lalu
Jika tidak menulis lengkap saat menguji, bersiaplah untuk kehilangan semua.
Analisis Kerentanan Compiler Solidity dan Strategi Penanggulangannya
Analisis Kerentanan Compiler Solidity dan Strategi Penanganannya
Kompiler adalah salah satu komponen dasar dari sistem komputer modern, yang bertanggung jawab untuk mengubah kode sumber bahasa pemrograman tingkat tinggi menjadi kode instruksi yang dapat dieksekusi oleh komputer. Meskipun pengembang dan personel keamanan biasanya lebih memperhatikan keamanan kode aplikasi, keamanan kompiler itu sendiri juga tidak bisa diabaikan. Sebagai program komputer, kompiler juga mungkin memiliki kerentanan keamanan, yang dalam beberapa kasus dapat membawa risiko keamanan yang serius.
Fungsi compiler Solidity adalah mengubah kode kontrak pintar menjadi kode instruksi Ethereum Virtual Machine (EVM). Berbeda dengan kerentanan EVM itu sendiri, kerentanan compiler Solidity terutama mempengaruhi pengembang kontrak, dan tidak akan langsung membahayakan keamanan jaringan Ethereum. Namun, kerentanan compiler dapat menyebabkan kode EVM yang dihasilkan tidak sesuai dengan yang diharapkan pengembang, yang pada gilirannya dapat menyebabkan kerugian aset yang serius.
Berikut adalah beberapa contoh kerentanan compiler Solidity yang nyata:
Kerentanan ini ada di versi awal dari compiler Solidity (>=0.1.6 <0.4.4). Dalam beberapa kasus, compiler gagal membersihkan bit tinggi setelah overflow integer dengan benar, menyebabkan nilai variabel yang disimpan secara tidak sengaja dimodifikasi.
Kerentanan ini mempengaruhi versi kompiler >=0.8.13 <0.8.15. Karena adanya masalah dalam optimasi blok assembly inline oleh kompiler, beberapa operasi penulisan ke memori mungkin dihapus secara salah, yang mengakibatkan perilaku program yang tidak normal.
Kerentanan ini terdapat pada versi compiler >= 0.5.8 < 0.8.16. Saat melakukan operasi abi.encode pada array tipe calldata, compiler secara keliru menghapus beberapa data, menyebabkan data yang bersebelahan diubah, sehingga data setelah pengkodean dan dekode tidak konsisten.
Untuk mengatasi risiko yang ditimbulkan oleh kerentanan compiler Solidity, pengembang dan petugas keamanan dapat mengambil langkah-langkah berikut:
Untuk pengembang:
Untuk personel keamanan:
Beberapa sumber daya yang berguna:
Dengan memahami karakteristik dan risiko kerentanan kompiler Solidity, pengembang dan personel keamanan dapat mengambil langkah pencegahan yang tepat untuk melindungi keamanan kontrak pintar dengan lebih baik dan mengurangi risiko potensi kehilangan aset.