- الموضوع
54k درجة الشعبية
21k درجة الشعبية
34k درجة الشعبية
31k درجة الشعبية
4k درجة الشعبية
99k درجة الشعبية
29k درجة الشعبية
28k درجة الشعبية
7k درجة الشعبية
18k درجة الشعبية
- تثبيت
54k درجة الشعبية
21k درجة الشعبية
34k درجة الشعبية
31k درجة الشعبية
4k درجة الشعبية
99k درجة الشعبية
29k درجة الشعبية
28k درجة الشعبية
7k درجة الشعبية
18k درجة الشعبية
تحليل ثغرات مترجم Solidity واستراتيجيات التعامل معها
تحليل ثغرات مترجم Solidity واستراتيجيات التعامل معها
نظرة عامة على ثغرات المترجم
المجمع هو أحد المكونات الأساسية في أنظمة الكمبيوتر الحديثة، وظيفته الرئيسية هي تحويل شفرة المصدر للغات البرمجة عالية المستوى إلى تعليمات قابلة للتنفيذ على الكمبيوتر. ومع ذلك، يمكن أن يحتوي المجمع، كنوع من برامج الكمبيوتر، على ثغرات أمنية. قد تؤدي هذه الثغرات في بعض الحالات إلى مخاطر أمنية خطيرة.
في مجال البلوكشين، وظيفة مترجم Solidity هي تحويل كود العقود الذكية إلى كود تعليمات (EVM) الخاص بالآلة الافتراضية للإيثيريوم. على عكس ثغرات EVM نفسها، تؤثر ثغرات مترجم Solidity بشكل رئيسي على عملية تطوير العقود، ولن تعرض مباشرةً أمان شبكة الإيثيريوم للخطر.
مثال على ثغرة في مترجم Solidity
توجد هذه الثغرة في إصدارات أقدم من مترجم Solidity (>=0.1.6 <0.4.4). وقد تؤدي إلى عدم تطابق قيمة متغيرات التخزين في بعض الحالات مع ما هو متوقع، مما قد يؤثر على التحقق من الأذونات أو العمليات الحيوية مثل محاسبة الأصول.
تؤثر هذه الثغرة على إصدارات المترجم من 0.8.13 إلى أقل من 0.8.15. وتنشأ من معالجة خاطئة لشفرة التجميع المضمنة أثناء عملية تحسين المترجم، مما قد يؤدي إلى تحسين بعض عمليات الذاكرة بشكل خاطئ.
هذا الثغرة موجودة في المترجمات من النسخ >= 0.5.8 < 0.8.16. قد تؤدي إلى حدوث أخطاء عند تنفيذ عملية abi.encode على بعض مصفوفات أنواع calldata، مما يؤثر على صحة البيانات.
نصائح الأمان
للمطورين:
للموظفين الأمنيين:
موارد عملية
من خلال متابعة هذه الموارد واتخاذ التدابير المناسبة، يمكن للمطورين وموظفي الأمان تقليل المخاطر المحتملة الناتجة عن ثغرات مترجم Solidity بفعالية، وتحسين الأمان العام للعقود الذكية.