以太坊智能合约中发现47个0day漏洞

研究人员在以太坊智能合约中发现47个0 day漏洞。

旅顺口网站建设公司成都创新互联公司,旅顺口网站设计制作,有大型网站制作公司丰富经验。已为旅顺口上千提供企业网站建设服务。企业网站搭建\外贸网站制作要多少钱,请找那个售后服务好的旅顺口做网站的公司定做!

智能合约是保存在区块链上的程序,在满足预定义的条件后会自动执行。可以实现匿名方在没有中心化的可信机构的情况下实现可信的交易和协议的执行。因为智能合约的升级比较困难,因此智能合约在部署之前进行源码审计,确保部署时没有安全漏洞是非常重要的。

加利福尼亚大学圣塔芭芭拉分校的研究人员研发了一套智能合约一致性漏洞检测工具——SAILFISH。SAILFISH的工作流程如下所示:

给定智能合约,Sailfish可以将合约转化为一个依赖图,获取智能合约存储变量和状态变化指令的控制流和数据流关系,然后使用依赖图来识别潜在的安全漏洞。通过图查询的方式来确定2个执行路径之间是否是在同一个存储变量上的。

SAILFISH可以在智能合约中发现状态一致性漏洞、重入(Reentrancy)和交易顺序依赖漏洞。攻击者利用该漏洞可以修改交易的执行顺序或在一个交易内接管控制流。研究人员利用该工具在以太坊智能合约中发现了47个0 day漏洞。

通过对以太坊平台Etherscan中获得的89853个智能合约进行测试,Sailfish成功识别出了47个0 day漏洞,部分漏洞利用后甚至可以破坏应用特定的元数据。Sailfish工具的性能和准确率比SECURITY、MYTHRIL、OYENTE、SEREUM 、VANDAL等智能合约分析工具都高。

相关研究成果将在2022年5月举行的网络安全顶会IEEE Symposium on Security and Privacy (S&P)上报告展示。论文参见:https://arxiv.org/pdf/2104.08638.pdf

本文翻译自:https://thehackernews.com/2022/01/sailfish-system-to-find-state.html如若转载,请注明原文地址。

文章题目:以太坊智能合约中发现47个0day漏洞
文章位置:http://www.36103.cn/qtweb/news47/20897.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联