科学研究员工在以太币智能合约中发觉47个0 day系统漏洞。
智能合约是存放在数字货币上的程序流程,在达到预约义的情况后会全自动执行。可以完成密名放在沒有去中心化的可信组织的情形下完成可信的买卖和协议书的执行。由于智能合约的更新较为艰难,因而智能合约在部署以前开展源代码财务审计,保证部署时沒有网络安全问题是十分关键的。
加利福尼亚大学圣塔芭芭拉分校的分析工作人员产品研发了一套智能合约一致性网站漏洞扫描专用工具——SAILFISH。SAILFISH的工作内容如下所示所显示:
给出智能合约,Sailfish可以将合同转换为一个依赖图,获得智能合约储存自变量和情况转变命令的控制流和数据流分析关联,随后应用依赖图来鉴别不确定性的网络安全问题。根据图查看的方法来明确2个执行途径中间是不是在同一个储存自变量上的。
SAILFISH可以在智能合约中发觉情况一致性系统漏洞、重入(Reentrancy)和买卖次序依靠系统漏洞。网络攻击运用该缺陷可以改动买卖的执行次序或在一个买卖内接手控制流。科学研究工作员运用该专用工具在以太币智能合约中看到了47个0 day系统漏洞。
根据对以太币服务平台Etherscan中得到的89853个智能合约开展检测,Sailfish取得成功鉴别出了47个0 day系统漏洞,一部分漏洞检测后乃至可以毁坏运用特殊的数据库。Sailfish专用工具的使用性能和准确度比SECURITY、MYTHRIL、OYENTE、SEREUM 、VANDAL等智能合约分析工具都高。
有关科研成果将在2022年5月举办的网络信息安全顶会IEEE Symposium on Security and Privacy (S&P)上汇报展现。毕业论文参照:https://arxiv.org/pdf/2104.08638.pdf
文中翻譯自:https://thehackernews.com/2022/01/sailfish-system-to-find-state.html倘若转截,请标明全文详细地址。