Solidity Derleyici Açığı Analizi ve Önleme Stratejileri

Derleyici, modern bilgisayar sistemlerinin temel bileşenlerinden biridir. İşlevi, yüksek seviyeli programlama dili kaynak kodunu bilgisayarın çalıştırabileceği talimat koduna dönüştürmektir. Uygulama programı kodları gibi, derleyicinin kendisi de güvenlik açıklarına sahip olabilir ve bazı durumlarda ciddi güvenlik riskleri doğurabilir.

Solidity derleyicisinin işlevi, akıllı sözleşme kodunu Ethereum Sanal Makinesi (EVM) talimat koduna dönüştürmektir. EVM'nin kendisindeki güvenlik açıklarının aksine, Solidity derleyici güvenlik açıkları doğrudan Ethereum ağını etkilemez, ancak geliştiricinin beklediğinden farklı EVM kodunun üretilmesine neden olarak akıllı sözleşme güvenlik sorunlarını tetikleyebilir.

Aşağıda birkaç gerçek Solidity derleyici açığı örneği bulunmaktadır:

1. SOL-2016-9 YüksekDüzeyBaytTemizlemeDepolama

Bu açık, daha eski versiyonlardaki Solidity derleyicisinde bulunmaktadır (>=0.1.6 <0.4.4). Bazı durumlarda, derleyici yüksek baytları doğru bir şekilde temizlememiştir, bu da storage değişkeninin değerinin beklenmedik bir şekilde değiştirilmesine neden olmuştur.

2. SOL-2022-4 InlineAssemblyMemorySideEffects

Bu güvenlik açığı 0.8.13 ile 0.8.15 sürümleri arasındaki derleyicilerde bulunmaktadır. Derleme optimizasyonu sırasında assembly bloklarının yanlış işlenmesi, bellek yazma işlemlerinin yanlışlıkla kaldırılmasına neden olabilir.

3. SOL-2022-6 AbiReencodingHeadOverflowWithStaticArrayCleanup

Bu açık, 0.5.8 ile 0.8.16 sürümleri arasındaki derleyicileri etkilemektedir. calldata türündeki bir dizi üzerinde abi.encode işlemi yapılırken, bazı verilerin yanlışlıkla temizlenmesine neden olabilir, bu da bitişik verilerin değiştirilmesine yol açar.

Solidity derleyici açığı ile ilgili olarak, Cobo blok zinciri güvenlik ekibi aşağıdaki önerileri sunmaktadır:

Geliştiricilere:

• Daha yeni bir Solidity derleyici sürümü kullanın
• Birim test vakalarını geliştirin
• Karmaşık dil özellikleri kullanmaktan kaçının, örneğin, satır içi montaj, çok boyutlu dizilerin abi kodlama ve kod çözme vb.

Güvenlik personeline:

• Denetim sırasında derleyicinin getirebileceği güvenlik risklerini dikkate alın.
• Geliştirme sürecinde derleyici versiyonunu yükseltmek için teşvik edin
• Derleyici açıklarının gerçek güvenlik etkisini belirli durumlara göre değerlendirin.

Bazı yararlı kaynaklar:

• Solidity resmi güvenlik uyarı blogu
• Solidity GitHub deposundaki hata listesi
• Tüm sürümler için derleyici hata listesi
• Etherscan sözleşme kodu sayfasındaki derleyici açığı uyarısı

Solidity derleyici açıklarının özelliklerini ve etkilerini anlayarak, geliştiriciler ve güvenlik uzmanları akıllı sözleşmelerin güvenlik risklerini daha kapsamlı bir şekilde değerlendirebilir ve buna göre önleyici tedbirler alabilir.