Verificador Solana 1
𝗛𝗼𝗷𝗲 𝗲𝘀𝘁𝗮𝗺𝗼𝘀 𝗶𝗻𝘁𝗿𝗼𝗱𝘂𝘇𝗶𝗻𝗱𝗼 𝗼 𝗩𝗲𝗿𝗶𝗳𝗶𝗰𝗮𝗱𝗼𝗿 𝗱𝗼 𝗗𝗼𝗻𝗼 𝗠𝗮𝗻𝗰𝗵𝗮𝗻𝗱𝗼.
Isto marca o nosso primeiro verificador @solana na série Chain-Fox sobre análise de contratos inteligentes e ferramentas de segurança.
Vamos mergulhar 🧵
O que este verificador faz?
Ele detecta quando contratos inteligentes da Solana usam contas sem verificar se são propriedade do programa esperado.
Este simples descuido pode levar a vulnerabilidades perigosas.
𝗢 𝗽𝗿𝗼𝗯𝗹𝗲𝗺
Os programas Solana dependem de contas externas. Se um contrato não verificar se o campo do proprietário de uma conta corresponde ao programa pretendido, um ator malicioso pode fornecer uma conta forjada pertencente a outro programa.
O resultado pode ser a escalada de privilégios, corrupção de lógica ou roubo.
𝗣𝗼𝗿𝗾𝘂𝗲 𝗲́ 𝗳𝗮𝘁𝗼 𝗶𝗺𝗽𝗼𝗿𝘁𝗮
Uma conta pode parecer válida, mas ser totalmente controlada por um atacante.
Se as verificações de propriedade forem ignoradas, o contrato pode:
• Aprovar transferências de tokens falsas
• Aceitar configurações maliciosas ou contas de autoridade
• Escrever em regiões de memória inseguras
Esses bugs já levaram a explorações reais no ecossistema.
𝗖𝗼𝗺𝗼 𝗼 𝗰𝗵𝗲𝗰𝗸𝗲𝗿 𝗳𝗮𝗯𝗿𝗶𝗰𝗮
Este verificador analisa programas Solana para analisar o uso de contas dentro dos manipuladores de instruções.
Ele rastreia:
• Onde as contas são acessadas
• Se 𝚊𝚌𝚌𝚘𝚞𝚗𝚝.𝚘𝚠𝚗𝚎𝚛==𝚎𝚡𝚙𝚎𝚌𝚝𝚎𝚍_𝚙𝚛𝚘𝚐𝚛𝚊𝚖_𝚒𝚍 é validado
• Contextos de instrução com validações ausentes
Em seguida, sinaliza locais específicos de uso de contas onde as verificações de proprietário estão ausentes.
𝗜𝗺𝗽𝗮𝗰𝘁𝗼 𝗻𝗼 𝗺𝗼𝗻𝗱𝗼 𝗿𝗲𝗮𝗹
Observámos que a falta de verificações de proprietários é uma causa comum em explorações de contratos na @solana.
Em vários projetos de alto perfil, contas não verificadas permitiram que atacantes contornassem portas lógicas e manipulassem o estado do programa.
Este verificador foi criado para detectar e prevenir isso.
𝗣𝗼𝗿𝗾𝘂𝗲 𝗲́ 𝗲𝘀𝘀𝗲𝗻𝗰𝗶𝗮𝗹 𝗽𝗮𝗿𝗮 𝗼𝘀 𝗱𝗲𝘃𝗲𝗹𝗼𝗽𝗮𝗱𝗼𝗿𝗲𝘀 𝗱𝗲 𝗦𝗼𝗹𝗮𝗻𝗮
Embora a Solana ofereça desempenho, isso vem com complexidade.
A segurança depende de uma validação cuidadosa da conta.
Este verificador ajuda a reforçar uma suposição crítica que muitas vezes não é verificada.
Este é o primeiro verificador de Solana que estamos a partilhar. No nosso próximo post, iremos destacar outra ferramenta chave na suíte Chain-Fox para detectar vulnerabilidades específicas de Solana.
56
3,77 mil
O conteúdo apresentado nesta página é fornecido por terceiros. Salvo indicação em contrário, a OKX não é o autor dos artigos citados e não reivindica quaisquer direitos de autor nos materiais. O conteúdo é fornecido apenas para fins informativos e não representa a opinião da OKX. Não se destina a ser um endosso de qualquer tipo e não deve ser considerado conselho de investimento ou uma solicitação para comprar ou vender ativos digitais. Na medida em que a IA generativa é utilizada para fornecer resumos ou outras informações, esse mesmo conteúdo gerado por IA pode ser impreciso ou inconsistente. Leia o artigo associado para obter mais detalhes e informações. A OKX não é responsável pelo conteúdo apresentado nos sites de terceiros. As detenções de ativos digitais, incluindo criptomoedas estáveis e NFTs, envolvem um nível de risco elevado e podem sofrer grandes flutuações. Deve considerar cuidadosamente se o trading ou a detenção de ativos digitais é adequado para si à luz da sua condição financeira.