- الموضوع
12k درجة الشعبية
43k درجة الشعبية
85 درجة الشعبية
13k درجة الشعبية
30k درجة الشعبية
732 درجة الشعبية
90k درجة الشعبية
25k درجة الشعبية
26k درجة الشعبية
7k درجة الشعبية
- تثبيت
12k درجة الشعبية
43k درجة الشعبية
85 درجة الشعبية
13k درجة الشعبية
30k درجة الشعبية
732 درجة الشعبية
90k درجة الشعبية
25k درجة الشعبية
26k درجة الشعبية
7k درجة الشعبية
تحليل ثغرات مترجم Solidity وإجراءات الوقاية منها
تحليل ثغرات مترجم Solidity وإجراءات الوقاية منها
المترجم هو أحد المكونات الأساسية في أنظمة الكمبيوتر الحديثة، وظيفته تحويل كود المصدر للغات البرمجة عالية المستوى إلى كود تعليمات يمكن تنفيذه بواسطة الكمبيوتر. بالمقارنة مع كود التطبيقات، غالبًا ما يتم تجاهل أمان المترجم نفسه. ومع ذلك، كبرنامج كمبيوتر، قد يحتوي المترجم أيضًا على ثغرات أمنية، مما قد يؤدي في بعض الحالات إلى مخاطر أمنية خطيرة.
يتمثل دور مترجم Solidity في تحويل كود العقد الذكي إلى تعليمات كود EVM( الخاصة بآلة Ethereum الافتراضية). على عكس ثغرات EVM نفسها، فإن ثغرات مترجم Solidity لا تؤثر مباشرة على شبكة Ethereum، ولكنها قد تؤدي إلى عدم توافق كود EVM الناتج مع توقعات المطور، مما قد يتسبب في مشكلات أمان العقود الذكية.
فيما يلي بعض الأمثلة الحقيقية على ثغرات مترجم Solidity:
توجد هذه الثغرة في الإصدارات المبكرة من المترجم Solidity (>=0.1.6 <0.4.4). في بعض الحالات، لم يقم المترجم بتنظيف البايتات العليا بشكل صحيح، مما أدى إلى تعديل غير مقصود لقيم المتغيرات.
تؤثر هذه الثغرة على إصدارات المترجم من 0.8.13 إلى 0.8.15. بسبب معالجة خاطئة لكتلة assembly الفردية أثناء عملية تحسين التجميع، قد يؤدي ذلك إلى إزالة عمليات الذاكرة بشكل خاطئ.
يؤثر هذا الثغرة على إصدارات المترجم من 0.5.8 إلى 0.8.16. أثناء إجراء عملية abi.encode على مصفوفة من نوع calldata، تم مسح بعض البيانات بشكل خاطئ، مما أدى إلى تعديل البيانات المجاورة.
بالنسبة لثغرات مترجم Solidity، إليك النصائح الأمنية التالية:
للمطورين:
إلى موظفي الأمن:
بعض الموارد المفيدة:
بشكل عام، على الرغم من أنه لا ينبغي الإفراط في الذعر بشأن ثغرات المترجم، إلا أن المطورين والفرق الأمنية يجب أن يظلوا يقظين ويتخذوا التدابير المناسبة لتقليل المخاطر ذات الصلة.