- الموضوع
40k درجة الشعبية
21k درجة الشعبية
33k درجة الشعبية
31k درجة الشعبية
4k درجة الشعبية
96k درجة الشعبية
29k درجة الشعبية
28k درجة الشعبية
7k درجة الشعبية
18k درجة الشعبية
- تثبيت
40k درجة الشعبية
21k درجة الشعبية
33k درجة الشعبية
31k درجة الشعبية
4k درجة الشعبية
96k درجة الشعبية
29k درجة الشعبية
28k درجة الشعبية
7k درجة الشعبية
18k درجة الشعبية
تحليل ثغرات مترجم Solidity واستراتيجيات الوقاية
تحليل ثغرات مترجم Solidity واستراتيجيات التعامل معها
المترجم هو أحد المكونات الأساسية في أنظمة الكمبيوتر الحديثة، وظيفته هي تحويل كود مصدر لغة البرمجة عالية المستوى إلى تعليمات قابلة للتنفيذ من قبل الكمبيوتر. مثل كود تطبيقات البرامج، قد تحتوي المترجمات نفسها أيضًا على ثغرات أمنية، وفي بعض الحالات، قد تشكل مخاطر أمنية خطيرة.
تتمثل وظيفة مترجم Solidity في تحويل كود العقد الذكي إلى كود تعليمات (EVM) لآلة Ethereum الافتراضية. على عكس ثغرات EVM نفسها، فإن ثغرات مترجم Solidity لا تؤثر مباشرة على شبكة Ethereum، ولكنها قد تؤدي إلى عدم توافق كود EVM الناتج مع توقعات المطورين، مما قد يتسبب في مشاكل أمنية للعقود الذكية.
إليك بعض الأمثلة الحقيقية على ثغرات مترجم Solidity:
توجد هذه الثغرة في إصدارات سابقة من مترجم Solidity ( >= 0.1.6 < 0.4.4). في بعض الحالات، لم يقم المترجم بتنظيف البايتات العليا بشكل صحيح، مما أدى إلى تعديل غير مقصود لقيمة المتغيرات التخزينية.
توجد هذه الثغرة في إصدارات 0.8.13 إلى 0.8.15 من المترجم. بسبب المعالجة الخاطئة لكتل assembly أثناء عملية تحسين المترجم، قد يؤدي ذلك إلى إزالة عمليات الكتابة في الذاكرة بشكل خاطئ.
تؤثر هذه الثغرة على إصدارات المترجم من 0.5.8 إلى 0.8.16. عند إجراء عملية abi.encode على مصفوفة من نوع calldata، قد يتم تنظيف بعض البيانات بشكل خاطئ، مما يؤدي إلى تعديل بيانات مجاورة.
فيما يتعلق بثغرات مترجم Solidity، قدم فريق أمان بلوكتشين Cobo الاقتراحات التالية:
إلى المطورين:
إلى موظفي الأمان:
بعض الموارد المفيدة:
من خلال فهم خصائص وتأثير ثغرات مترجم Solidity، يمكن للمطورين وموظفي الأمان تقييم مخاطر أمان العقود الذكية بشكل أكثر شمولاً واتخاذ التدابير الوقائية المناسبة.