Solidity Derleyici Açığı Analizi ve Önleme Stratejileri
Derleyici, modern bilgisayar sistemlerinin temel bileşenlerinden biridir. Ana işlevi, yüksek seviyeli programlama dillerini bilgisayarın çalıştırabileceği alt seviyedeki talimatlara dönüştürmektir. Çoğu geliştirici ve güvenlik uzmanı genellikle uygulama kodunun güvenliğine odaklansa da, derleyicinin kendisinin güvenliği de aynı derecede önemlidir. Bir bilgisayar programı olarak derleyici, güvenlik açıklarına sahip olabilir ve bu bazı durumlarda ciddi güvenlik riskleri doğurabilir.
Solidity derleyicisinin rolü, akıllı sözleşme kodunu Ethereum Sanal Makinesi (EVM) talimatlarına dönüştürmektir. EVM'in kendisindeki açıkların aksine, Solidity derleyici açıkları esasen akıllı sözleşme geliştiricilerini etkiler ve doğrudan Ethereum ağı güvenliğini tehlikeye atmaz. Ancak, derleyici açıkları, üretilen EVM kodunun geliştiricinin beklediği gibi olmamasına neden olabilir ve bu da kullanıcı varlık kaybı gibi ciddi sonuçlara yol açabilir.
Aşağıda birkaç gerçek Solidity derleyici açığı örneği bulunmaktadır:
SOL-2016-9 YüksekDüzeyBaytTemizlemeDepolama
Bu güvenlik açığı, daha eski versiyonlardaki Solidity derleyicisinde (>=0.1.6 <0.4.4) bulunmaktadır. Sorun, EVM'nin 32 bayt boyutunda yığın elemanları kullanması ve Solidity'nin daha küçük veri tiplerini desteklemesindendir. Bazı durumlarda, derleyici üst baytları doğru bir şekilde temizlemeyi başaramadı ve bu da beklenmeyen veri örtüşmelerine yol açtı.
SOL-2022-4 InlineAssemblyMemoryYanEtkileri
Bu güvenlik açığı, 0.8.13 ve 0.8.15 arasında olan derleyicileri etkilemektedir. Sorun, derleyici optimizasyon sürecinde, inline assembly bloklarının yanlış işlenmesinden kaynaklanmakta ve bu da bazı bellek yazma işlemlerinin yanlışlıkla kaldırılmasına neden olmaktadır.
Bu güvenlik açığı >=0.5.8 <0.8.16 sürümündeki derleyicide bulunmaktadır. Belirli calldata türündeki dizilerin ABI kodlaması yapılırken, hatalı veri temizleme işlemi komşu verilerin değiştirilmesine neden olmakta ve bu da kodlama ve kod çözme sonuçlarının tutarsız olmasına yol açmaktadır.
Solidity derleyici açıkları ile ilgili olarak aşağıdaki önerileri sunuyoruz:
Geliştiricilere:
Daha yeni bir Solidity derleyici sürümü kullanın
Ünite test vakalarını geliştirin, kod kapsamını artırın
Inline assembly, karmaşık ABI kodlama ve kod çözme gibi ileri düzey özelliklerden kaçının.
Güvenlik personeline:
Denetim sırasında derleyicinin getirebileceği güvenlik risklerini göz önünde bulundurun
Geliştirme sürecinde derleyici sürümünün güncellenmesini teşvik etmek
CI/CD'de derleyici sürümü otomatik kontrolü eklenmesi
Bazı pratik kaynaklar:
Solidity resmi güvenlik uyarısı
Solidity deposundaki hata listesi
Her sürüm için derleyici hata listesi
Etherscan'daki derleyici güvenlik açığı uyarısı
Sonuç olarak, derleyici açıkları konusunda aşırı endişelenmeye gerek olmasa da, akıllı sözleşme geliştirme ve denetim sürecinde bu potansiyel güvenlik tehdidine yeterince önem verilmelidir. Uygun önlemler alınarak, derleyici açıklarının getirdiği riskler en aza indirilebilir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
9 Likes
Reward
9
7
Share
Comment
0/400
BoredApeResistance
· 07-08 04:11
Kod konusunda yine dikkatli olmakta fayda var.
View OriginalReply0
SelfCustodyBro
· 07-06 15:49
Hala kod mu yazıyorsun? Önce eve gidip test et.
View OriginalReply0
TokenDustCollector
· 07-05 04:47
Sözleşmeyi kontrol etmeden önce derleyiciyi de kontrol etmek gerekir..
View OriginalReply0
0xSoulless
· 07-05 04:46
Her gün insanları enayi yerine koymak, daha iyi ki derleyici beni direkt kesip geçsin.
View OriginalReply0
SmartContractPlumber
· 07-05 04:43
Ana Ağ'a geçmek için acele ettiğinizi biliyorum ama bir açıkla geçmekte cesaretiniz var mı?
View OriginalReply0
ConsensusDissenter
· 07-05 04:39
Yine akıllı sözleşmelerde kaza oldu.
View OriginalReply0
BoredWatcher
· 07-05 04:28
Neden hala bu kadar çok güvenlik açığı var, yazık.
Solidity Derleyici Açığı: Geliştiricilerin Bilmesi Gerekenler ve Önlem Stratejileri
Solidity Derleyici Açığı Analizi ve Önleme Stratejileri
Derleyici, modern bilgisayar sistemlerinin temel bileşenlerinden biridir. Ana işlevi, yüksek seviyeli programlama dillerini bilgisayarın çalıştırabileceği alt seviyedeki talimatlara dönüştürmektir. Çoğu geliştirici ve güvenlik uzmanı genellikle uygulama kodunun güvenliğine odaklansa da, derleyicinin kendisinin güvenliği de aynı derecede önemlidir. Bir bilgisayar programı olarak derleyici, güvenlik açıklarına sahip olabilir ve bu bazı durumlarda ciddi güvenlik riskleri doğurabilir.
Solidity derleyicisinin rolü, akıllı sözleşme kodunu Ethereum Sanal Makinesi (EVM) talimatlarına dönüştürmektir. EVM'in kendisindeki açıkların aksine, Solidity derleyici açıkları esasen akıllı sözleşme geliştiricilerini etkiler ve doğrudan Ethereum ağı güvenliğini tehlikeye atmaz. Ancak, derleyici açıkları, üretilen EVM kodunun geliştiricinin beklediği gibi olmamasına neden olabilir ve bu da kullanıcı varlık kaybı gibi ciddi sonuçlara yol açabilir.
Aşağıda birkaç gerçek Solidity derleyici açığı örneği bulunmaktadır:
Bu güvenlik açığı, daha eski versiyonlardaki Solidity derleyicisinde (>=0.1.6 <0.4.4) bulunmaktadır. Sorun, EVM'nin 32 bayt boyutunda yığın elemanları kullanması ve Solidity'nin daha küçük veri tiplerini desteklemesindendir. Bazı durumlarda, derleyici üst baytları doğru bir şekilde temizlemeyi başaramadı ve bu da beklenmeyen veri örtüşmelerine yol açtı.
Bu güvenlik açığı, 0.8.13 ve 0.8.15 arasında olan derleyicileri etkilemektedir. Sorun, derleyici optimizasyon sürecinde, inline assembly bloklarının yanlış işlenmesinden kaynaklanmakta ve bu da bazı bellek yazma işlemlerinin yanlışlıkla kaldırılmasına neden olmaktadır.
Bu güvenlik açığı >=0.5.8 <0.8.16 sürümündeki derleyicide bulunmaktadır. Belirli calldata türündeki dizilerin ABI kodlaması yapılırken, hatalı veri temizleme işlemi komşu verilerin değiştirilmesine neden olmakta ve bu da kodlama ve kod çözme sonuçlarının tutarsız olmasına yol açmaktadır.
Solidity derleyici açıkları ile ilgili olarak aşağıdaki önerileri sunuyoruz:
Geliştiricilere:
Güvenlik personeline:
Bazı pratik kaynaklar:
Sonuç olarak, derleyici açıkları konusunda aşırı endişelenmeye gerek olmasa da, akıllı sözleşme geliştirme ve denetim sürecinde bu potansiyel güvenlik tehdidine yeterince önem verilmelidir. Uygun önlemler alınarak, derleyici açıklarının getirdiği riskler en aza indirilebilir.