Анализ уязвимостей компилятора Solidity и стратегии реагирования

Компилятор является важной частью современных компьютерных систем, его задача заключается в преобразовании языков высокого уровня в исполняемый машинный код. Хотя большинство разработчиков и специалистов по безопасности в основном сосредоточены на безопасности кода приложений, безопасность самого компилятора также не должна быть упущена из виду. Уязвимости компилятора в некоторых случаях могут привести к серьезным рискам безопасности.

Функция компилятора Solidity заключается в преобразовании кода смарт-контракта в код инструкций виртуальной машины Ethereum (EVM). В отличие от уязвимостей самой EVM, уязвимости компилятора Solidity не влияют непосредственно на сеть Ethereum, но могут привести к тому, что сгенерированный код EVM будет отличаться от ожидаемого разработчиком, что может вызвать проблемы с безопасностью.

Вот несколько примеров реальных уязвимостей компилятора Solidity:

1. SOL-2016-9 HighOrderByteCleanStorage

Уязвимость существует в ранних версиях компилятора Solidity (>=0.1.6 <0.4.4). В некоторых случаях компилятор неправильно очищал старшие байты, что приводило к неожиданному изменению значения хранимой переменной.

2. SOL-2022-4 ВстроеннаяАссемблернаяПамятьПобочныеЭффекты

Этот уязвимость затрагивает версии компилятора от 0.8.13 до 0.8.15. Из-за проблем с стратегией оптимизации компилятора может произойти неправильное удаление операций записи в память, что приведет к аномальным значениям возвращаемых функций.

3. SOL-2022-6 AbiReencodingHeadOverflowWithStaticArrayCleanup

Уязвимость существует в версиях компилятора от 0.5.8 до 0.8.16. При ABI-кодировании массивов типа calldata может произойти некорректная очистка некоторых данных, что приводит к изменению смежных данных.

Чтобы справиться с рисками, связанными с уязвимостями компилятора Solidity, разработчики и специалисты по безопасности могут предпринять следующие меры:

Для разработчиков:

• Используйте более новую версию компилятора Solidity
• Улучшить тестовые случаи юнит-тестирования, повысить покрытие кода
• Избегайте использования встроенной сборки, сложного кодирования и декодирования ABI и других сложных функций

Для сотрудников службы безопасности:

• Учитывайте потенциальные риски безопасности, которые могут быть введены компилятором в процессе аудита.
• Продвижение обновления версии компилятора в процессе SDL
• Внедрение автоматической проверки версии компилятора в CI/CD

Полезные ресурсы для справки:

• Официальный блог предупреждений о безопасности Solidity
• Список ошибок в репозитории Solidity на GitHub
• Список ошибок компилятора для всех версий
• Страница кода контракта на Etherscan предоставляет подсказки о уязвимостях компилятора

В общем, хотя не стоит чрезмерно беспокоиться о уязвимостях компилятора, в процессе разработки и аудита смарт-контрактов следует в полной мере осознавать этот потенциальный риск и принимать соответствующие меры предосторожности.