Solidity Derleyici Açıkları Analizi ve Önleme Stratejileri
Derleyici, modern bilgisayar sisteminin temel bileşenlerinden biridir ve yüksek seviyeli programlama dili kaynak kodunu bilgisayar tarafından yürütülebilecek talimat koduna dönüştürmekten sorumludur. Geliştiriciler ve güvenlik uzmanları genellikle uygulama kodunun güvenliğine daha fazla odaklansalar da, derleyicinin kendisinin güvenliği de göz ardı edilemez. Bir bilgisayar programı olarak, derleyicinin de güvenlik açıkları olabilir ve bazı durumlarda ciddi güvenlik riskleri doğurabilir.
Solidity derleyicisinin işlevi, akıllı sözleşme kodunu Ethereum sanal makinesi (EVM) talimat koduna dönüştürmektir. EVM'nin kendi açıklarından farklı olarak, Solidity derleyici açıkları esasen sözleşme geliştiricilerini etkiler ve doğrudan Ethereum ağının güvenliğini tehdit etmez. Ancak, derleyici açıkları, üretilen EVM kodunun geliştiricinin beklediği ile uyuşmamasına neden olabilir ve bu da ciddi varlık kayıplarına yol açabilir.
Aşağıda birkaç gerçek Solidity derleyici açığı örneği verilmiştir:
SOL-2016-9 YüksekDüzenBaytTemizSaklama
Bu güvenlik açığı, daha eski sürümlerdeki Solidity derleyicisinde (>=0.1.6 <0.4.4) bulunmaktadır. Bazı durumlarda, derleyici, tam sayı taşmasının ardından yüksek bitleri düzgün bir şekilde temizlemeyi başaramadı ve bu da depolama değişkenlerinin değerlerinin yanlışlıkla değiştirilmesine yol açtı.
SOL-2022-4 InlineAssemblyMemorySideEffects
Bu güvenlik açığı >=0.8.13 <0.8.15 sürümündeki derleyicileri etkilemektedir. Derleyicinin satır içi montaj bloklarının optimizasyonunda bir sorun olduğu için, bazı bellek yazma işlemlerini yanlışlıkla kaldırabilir ve bu da programın anormal davranmasına neden olabilir.
Bu açık, >= 0.5.8 < 0.8.16 sürümündeki derleyicide bulunmaktadır. calldata türündeki bir dizi için abi.encode işlemi yapılırken, derleyici bazı verileri hatalı bir şekilde temizleyerek komşu verilerin değiştirilmesine neden oldu, bu da kodlama ve kod çözme sonrası verilerin uyumsuz olmasına yol açtı.
Solidity derleyici açıklarının getirdiği riskleri azaltmak için geliştiriciler ve güvenlik uzmanları aşağıdaki önlemleri alabilir:
Geliştiriciler için:
Daha yeni bir Solidity derleyici sürümü kullanın, çünkü yeni sürümler genellikle bilinen güvenlik sorunlarını düzeltir.
Birim test durumlarını geliştirerek kod kapsamını artırmak, derleyicinin neden olduğu olağandışı davranışları tespit etmeye yardımcı olur.
Sorunlara yol açabilecek iç içe montaj, karmaşık abi kodlama ve kod çözme gibi işlemlerden kaçınılması önerilir.
Güvenlik personeli için:
Güvenlik denetimi sırasında, derleyicinin potansiyel olarak getirebileceği güvenlik risklerini göz ardı etmeyin.
İç geliştirme süreçlerinde, geliştirme ekiplerini derleyici sürümünü zamanında güncellemeye teşvik edin ve CI/CD süreçlerine derleyici sürümünün otomatik kontrolünü dahil etmeyi düşünün.
Derleyici açıklarına dikkat edin, ancak aşırı panik yapmanıza gerek yok. Çoğu açık yalnızca belirli kod kalıpları altında tetiklenir ve gerçek etkiyi değerlendirmek için durum özelinde değerlendirme gerektirir.
Bazı pratik kaynaklar:
Solidity ekibi tarafından düzenli olarak yayınlanan güvenlik uyarıları
Solidity resmi deposunda düzenli olarak güncellenen güvenlik açıkları listesi
Farklı sürümler için derleyici açıkları listesi, CI/CD sürecinde otomatik kontrol için kullanılabilir.
Etherscan sözleşme kodu sayfasının sağ üst köşesindeki uyarı simgesi, mevcut sürüm derleyicisinde var olan güvenlik açıklarını gösterir.
Solidity derleyici açıklarının özelliklerini ve risklerini anlayarak, uygun önleyici tedbirler alarak, geliştiriciler ve güvenlik uzmanları akıllı sözleşmelerin güvenliğini daha iyi koruyabilir ve potansiyel varlık kaybı riskini azaltabilir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
15 Likes
Reward
15
6
Share
Comment
0/400
AirdropHunterKing
· 1h ago
Test kontrat köpeği bu kadar uzun zamandır deniyorum ama yine de içinde kaldım, bir sürü hava yedim. Kardeşlerim eski kontratı kopyalamayın!
View OriginalReply0
Layer3Dreamer
· 4h ago
teorik olarak konuşursak, derleyici hataları = özyinelemeli güven varsayımları açıkçası
View OriginalReply0
IntrovertMetaverse
· 4h ago
Yüksek ve alçak, tüm taşma kontrolü yapılmalıdır!
View OriginalReply0
NftDeepBreather
· 4h ago
Bu açıklar patlayacak kadar çok.
View OriginalReply0
RunWhenCut
· 4h ago
Yine bir derleyici açığı eski bir şaka, bıktın mı?
Solidity derleyici açıkları ve bunlara karşı stratejilerin analizi
Solidity Derleyici Açıkları Analizi ve Önleme Stratejileri
Derleyici, modern bilgisayar sisteminin temel bileşenlerinden biridir ve yüksek seviyeli programlama dili kaynak kodunu bilgisayar tarafından yürütülebilecek talimat koduna dönüştürmekten sorumludur. Geliştiriciler ve güvenlik uzmanları genellikle uygulama kodunun güvenliğine daha fazla odaklansalar da, derleyicinin kendisinin güvenliği de göz ardı edilemez. Bir bilgisayar programı olarak, derleyicinin de güvenlik açıkları olabilir ve bazı durumlarda ciddi güvenlik riskleri doğurabilir.
Solidity derleyicisinin işlevi, akıllı sözleşme kodunu Ethereum sanal makinesi (EVM) talimat koduna dönüştürmektir. EVM'nin kendi açıklarından farklı olarak, Solidity derleyici açıkları esasen sözleşme geliştiricilerini etkiler ve doğrudan Ethereum ağının güvenliğini tehdit etmez. Ancak, derleyici açıkları, üretilen EVM kodunun geliştiricinin beklediği ile uyuşmamasına neden olabilir ve bu da ciddi varlık kayıplarına yol açabilir.
Aşağıda birkaç gerçek Solidity derleyici açığı örneği verilmiştir:
Bu güvenlik açığı, daha eski sürümlerdeki Solidity derleyicisinde (>=0.1.6 <0.4.4) bulunmaktadır. Bazı durumlarda, derleyici, tam sayı taşmasının ardından yüksek bitleri düzgün bir şekilde temizlemeyi başaramadı ve bu da depolama değişkenlerinin değerlerinin yanlışlıkla değiştirilmesine yol açtı.
Bu güvenlik açığı >=0.8.13 <0.8.15 sürümündeki derleyicileri etkilemektedir. Derleyicinin satır içi montaj bloklarının optimizasyonunda bir sorun olduğu için, bazı bellek yazma işlemlerini yanlışlıkla kaldırabilir ve bu da programın anormal davranmasına neden olabilir.
Bu açık, >= 0.5.8 < 0.8.16 sürümündeki derleyicide bulunmaktadır. calldata türündeki bir dizi için abi.encode işlemi yapılırken, derleyici bazı verileri hatalı bir şekilde temizleyerek komşu verilerin değiştirilmesine neden oldu, bu da kodlama ve kod çözme sonrası verilerin uyumsuz olmasına yol açtı.
Solidity derleyici açıklarının getirdiği riskleri azaltmak için geliştiriciler ve güvenlik uzmanları aşağıdaki önlemleri alabilir:
Geliştiriciler için:
Güvenlik personeli için:
Bazı pratik kaynaklar:
Solidity derleyici açıklarının özelliklerini ve risklerini anlayarak, uygun önleyici tedbirler alarak, geliştiriciler ve güvenlik uzmanları akıllı sözleşmelerin güvenliğini daha iyi koruyabilir ve potansiyel varlık kaybı riskini azaltabilir.