Sistem SAILFISH untuk Menemukan Bug Inkonsistensi Negara dalam Kontrak Cerdas

  • Whatsapp
smart contract
Sistem SAILFISH untuk Menemukan Bug Inkonsistensi Negara dalam Kontrak Cerdas

News.nextcloud.asia –

kontrak pintar

Sekelompok akademisi dari University of California, Santa Barbara, telah mendemonstrasikan apa yang disebutnya “teknik terukur” untuk memeriksa kontrak pintar dan mengurangi bug inkonsistensi negara, menemukan 47 kerentanan zero-day pada blockchain Ethereum dalam prosesnya.

Kontrak pintar adalah program disimpan di blockchain yang secara otomatis dieksekusi ketika kondisi yang telah ditentukan terpenuhi berdasarkan persyaratan perjanjian yang disandikan. Mereka memungkinkan transaksi dan perjanjian tepercaya dilakukan antara pihak anonim tanpa memerlukan otoritas pusat.

Dengan kata lain, kode itu sendiri dimaksudkan untuk menjadi penengah terakhir dari “kesepakatan” yang diwakilinya, dengan program yang mengendalikan semua aspek eksekusi, dan memberikan jejak audit bukti yang tidak dapat diubah dari transaksi yang dapat dilacak dan tidak dapat diubah.

Pencadangan GitHub Otomatis

Ini juga berarti bahwa kerentanan dalam kode dapat mengakibatkan kerugian besar, sebagaimana dibuktikan oleh peretasan yang ditujukan untuk DAO dan baru-baru ini, MonoX, di mana musuh mengeksploitasi celah untuk menyedot dana secara ilegal, sebuah skenario yang dapat memiliki konsekuensi bencana mengingat adopsi kontrak pintar yang berkembang selama beberapa tahun terakhir.

“Karena kontrak pintar tidak mudah diupgrade, mengaudit sumber pra-penempatan kontrak, dan menerapkan kontrak bebas bug bahkan lebih penting daripada dalam kasus perangkat lunak tradisional,” para peneliti merinci dalam sebuah kertas.

ikan layar

Masukkan Sailfish, yang bertujuan untuk menangkap kerentanan inkonsistensi keadaan dalam kontrak pintar yang memungkinkan penyerang untuk mengutak-atik urutan eksekusi transaksi atau mengambil alih aliran kontrol dalam satu transaksi (yaitu, masuk kembali).

Alat tersebut bekerja sebagai berikut. Diberi kontrak cerdas, Sailfish mengubah kontrak menjadi grafik ketergantungan, yang menangkap kontrol dan hubungan aliran data antara variabel penyimpanan dan instruksi kontrak cerdas yang mengubah status, menggunakannya untuk mengidentifikasi kelemahan potensial dengan mendefinisikan akses berbahaya, yang diimplementasikan sebagai kueri grafik untuk menentukan apakah dua jalur eksekusi yang berbeda, setidaknya satu menjadi operasi tulis, beroperasi pada variabel penyimpanan yang sama.

Mencegah Pelanggaran Data

Para peneliti mengevaluasi Sailfish pada 89.853 kontrak yang diperoleh dari Etherscan, mengidentifikasi 47 kelemahan zero-day yang dapat dimanfaatkan untuk menguras Ether dan bahkan merusak metadata khusus aplikasi. Ini juga termasuk kontrak rentan yang menerapkan pelacak perumahan yang dapat disalahgunakan sedemikian rupa sehingga pemilik rumah dapat memiliki lebih dari satu daftar aktif.

Temuan penelitian ini akan dibagikan pada Simposium IEEE tentang Keamanan dan Privasi (S&P) yang akan diadakan pada Mei 2022.

Ini bukan pertama kalinya kontrak pintar bermasalah menarik perhatian akademisi. Pada September 2020, para peneliti Tiongkok dirancang kerangka kerja untuk mengkategorikan kelemahan yang diketahui dalam kontrak pintar dengan tujuan memberikan kriteria deteksi untuk setiap bug.

.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *