智能合约是保存在区块链上的程序,满足预定条件后会自动执行。它可以在没有可信机构的情况下实现匿名方的可信交易和协议执行。由于智能合约的升级比较困难,因此在部署之前进行源码审计,确保没有安全漏洞非常重要。
加利福尼亚大学圣塔芭芭拉分校的研究人员开发了一套智能合约一致性漏洞检测工具——SAILFISH。SAILFISH的工作流程如下:1. 给定智能合约,Sailfish可以将其转换为依赖图。该图展示了智能合约存储变量和状态变化指令的控制流和数据流关系。2. SAILFISH使用依赖图来识别潜在的安全漏洞。它可以通过图查询的方式来确定两个执行路径是否在同一个存储变量上。
SAILFISH可以发现智能合约中的状态一致性漏洞、重入和交易顺序依赖漏洞。攻击者可以利用这些漏洞修改交易的执行顺序或在一个交易内接管控制流。研究人员使用SAILFISH在以太坊智能合约中发现了47个0day漏洞。
通过对以太坊平台Etherscan获取的89853个智能合约进行测试,Sailfish成功识别出了47个0day漏洞。其中一些漏洞利用后甚至可以破坏应用特定的元数据。与其他智能合约分析工具(如SECURITY、MYTHRIL、OYENTE、SEREUM、VANDAL)相比,Sailfish的性能和准确率更高。
相关研究成果将在2022年5月举行的网络安全顶会IEEESymposiumonSecurityandPrivacy(S&P)上展示。有关论文可以在https://arxiv.org/pdf/2104.08638.pdf找到。
参考及来源:https://thehackernews.com/2022/01/sailfish-system-to-find-state.html来源:嘶吼RoarTalk
本站所有软件信息均由用户上传发布,版权归原著所有。如有侵权/违规内容,敬请来信告知邮箱:764327034@qq.com,我们将及时撤销! 转载请注明出处:https://czxurui.com/zx/9392.html
发表回复
评论列表(0条)