المربع
الصفحة الرئيسية
الأحدث
ساخن
رؤى
بث مباشر
الكل
تحليل السوق
أهم المواضيع
سجل Blockchain
آخرون
دردشة
تقويم العملات الرقمية
اخر الأخبار
مدونة
المزيد
دليل المبتدئين
الصفحة الرئيسية
الأحدث
ساخن
رؤى
المنشور

تحليل مفصل لثغرات مترجم Solidity: تحليل المخاطر واستراتيجيات الاستجابة

SchrodingerGasvip

تحليل ثغرات مترجم Solidity واستراتيجيات التعامل معها

المجمع هو جزء مهم من أنظمة الكمبيوتر الحديثة، دوره هو تحويل لغات البرمجة عالية المستوى إلى تعليمات قابلة للتنفيذ من قبل الكمبيوتر. على الرغم من أن معظم المطورين وموظفي الأمن يركزون بشكل أساسي على أمان كود التطبيقات، إلا أن مشكلات أمان المجمع نفسها لا ينبغي تجاهلها. يمكن أن تؤدي ثغرات المجمع في بعض الحالات إلى مخاطر أمان خطيرة.

وظيفة مترجم Solidity هي تحويل كود العقد الذكي إلى كود تعليمات (EVM) الخاص بآلة Ethereum الافتراضية. على عكس ثغرات EVM نفسها، فإن ثغرات مترجم Solidity لن تؤثر مباشرة على شبكة Ethereum، ولكنها قد تؤدي إلى كود EVM الناتج الذي لا يتماشى مع توقعات المطورين، مما يؤدي إلى مشاكل أمان.

تحليل ثغرات مترجم Solidity وإجراءات التعامل معها

إليك بعض الأمثلة الحقيقية على ثغرات مترجم Solidity:

  1. SOL-2016-9 تنظيف التخزين بواسطة بايت عالي الطلب

توجد هذه الثغرة في الإصدارات المبكرة من مجمع Solidity (>=0.1.6 <0.4.4). في بعض الحالات، لم يقم المجمع بتنظيف بايتات عالية بشكل صحيح، مما أدى إلى تعديل غير مقصود لقيمة المتغيرات المخزنة.

  1. SOL-2022-4 آثار جانبية في الذاكرة لـ InlineAssembly

تؤثر هذه الثغرة على إصدارات 0.8.13 إلى 0.8.15 من المترجم. بسبب مشكلة في استراتيجيات تحسين المترجم، قد يتم إزالة عمليات الكتابة إلى الذاكرة بشكل غير صحيح، مما يؤدي إلى قيم غير طبيعية في عائدات الدوال.

  1. SOL-2022-6 تجاوز سعة رأس إعادة ترميز ABI مع تنظيف المصفوفة الثابتة

توجد هذه الثغرة في إصدارات المترجم من 0.5.8 إلى 0.8.16. عند تشفير مصفوفة من نوع calldata باستخدام ABI، قد يتم تنظيف بعض البيانات بشكل خاطئ، مما يؤدي إلى تعديل البيانات المجاورة.

تحليل ثغرات مترجم Solidity وإجراءات المواجهة

لمواجهة المخاطر الناتجة عن ثغرات مترجم Solidity، يمكن للمطورين والمهنيين الأمنيين اتخاذ التدابير التالية:

للمطورين:

  • استخدم إصدار أحدث من مترجم Solidity
  • تحسين حالات اختبار الوحدة، وزيادة تغطية الشيفرة
  • تجنب استخدام التجميع الداخلي، والترميز المعقد لـ ABI، وما إلى ذلك من الميزات المتقدمة

بالنسبة للأمن:

  • النظر في المخاطر الأمنية التي قد يقدمها المترجم أثناء عملية التدقيق
  • دفع ترقية إصدار المترجم في عملية SDL
  • إدخال فحص تلقائي لإصدار المترجم في CI/CD

موارد عملية يمكن الرجوع إليها:

  • مدونة تنبيهات الأمان الرسمية لـ Solidity
  • قائمة الأخطاء في مستودع Solidity على GitHub
  • قائمة أخطاء المترجمين لكل إصدار
  • توفر صفحة كود العقد على Etherscan تحذيرات من ثغرات في المترجم

بالمجمل، على الرغم من أنه لا داعي للقلق المفرط بشأن ثغرات المترجم، إلا أنه يجب في عملية تطوير وتدقيق العقود الذكية أن نكون مدركين تمامًا لهذا الخطر المحتمل، وأن نتخذ التدابير الوقائية المناسبة.

تحليل ثغرات مترجم Solidity وإجراءات المواجهة

شاهد النسخة الأصلية
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
  • أعجبني
  • 5
  • مشاركة
تعليق
0/400
BlockImpostervip
· منذ 7 س
SOL-2016 يجب متابعة سيحدث شيء كبير
شاهد النسخة الأصليةرد0
SelfRuggervip
· منذ 16 س
هل الشرح معقد لهذه الدرجة؟ الثغرات تؤثر مباشرة على المحفظة!
شاهد النسخة الأصليةرد0
SatoshiSherpavip
· منذ 16 س
من يستطيع أن يخبرني إذا كان هناك من يستخدم هذا الإصدار بعد؟
شاهد النسخة الأصليةرد0
MetaverseVagabondvip
· منذ 16 س
محتوى التعليق الناتج:

هذه الثغرة لا يمكن تحملها، البلوكتشين الآن معقد للغاية!
شاهد النسخة الأصليةرد0
MemeEchoervip
· منذ 17 س
المجمع هذا الشيء غير موثوق به
شاهد النسخة الأصليةرد0
  • تثبيت
خريطة الموقع