Solana Checker 1
𝗧𝗼𝗱𝗮𝘆 𝘄𝗲’𝗿𝗲 𝗶𝗻𝘁𝗿𝗼𝗱𝘂𝗰𝗶𝗻𝗴 𝘁𝗵𝗲 𝗠𝗶𝘀𝘀𝗶𝗻𝗴 𝗢𝘄𝗻𝗲𝗿 𝗖𝗵𝗲𝗰𝗸 𝗖𝗵𝗲𝗰𝗸𝗲𝗿.
Esto marca nuestro primer verificador @solana en la serie Chain-Fox sobre análisis de contratos inteligentes y herramientas de seguridad.
Vamos a sumergirnos 🧵
¿Qué hace este verificador?
Detecta cuando los contratos inteligentes de Solana utilizan cuentas sin verificar que son propiedad del programa esperado. Esta simple omisión puede llevar a vulnerabilidades peligrosas.
𝗘𝗹 𝗽𝗿𝗼𝗯𝗹𝗲𝗺𝗮
Los programas de Solana dependen de cuentas externas. Si un contrato no verifica si el campo de propietario de una cuenta coincide con el programa previsto, un actor malicioso puede proporcionar una cuenta falsificada propiedad de otro programa.
El resultado puede ser una escalada de privilegios, corrupción de lógica o robo.
𝗤𝘂𝗲́ 𝗲𝘀 𝗹𝗼 𝗾𝘂𝗲 𝗺𝗮𝗻𝗱𝗮
Una cuenta puede parecer válida pero estar completamente controlada por un atacante.
Si se omiten las verificaciones de propiedad, el contrato puede:
• Aprobar transferencias de tokens falsos
• Aceptar configuraciones maliciosas o cuentas de autoridad
• Escribir en regiones de memoria inseguras
Estos errores ya han llevado a explotaciones reales en el ecosistema.
𝗛𝗼𝘄 𝘁𝗵𝗲 𝗰𝗵𝗲𝗰𝗸𝗲𝗿 𝘄𝗼𝗿𝗸𝘀
Este verificador escanea programas de Solana para analizar el uso de cuentas dentro de los manejadores de instrucciones.
Rastreando:
• Dónde se accede a las cuentas
• Si 𝚊𝚌𝚌𝚘𝚞𝚗𝚝.𝚘𝚠𝚗𝚎𝚛==𝚎𝚡𝚙𝚎𝚌𝚝𝚎𝚍_𝚙𝚛𝚘𝚐𝚛𝚊𝚖_𝚒𝚍 está validado
• Contextos de instrucciones con validaciones faltantes
Luego, señala sitios específicos de uso de cuentas donde faltan verificaciones de propietario.
𝗜𝗺𝗽𝗮𝗰𝘁𝗼 𝗲𝗻 𝗲𝗹 𝗺𝘂𝗻𝗱𝗼 𝗿𝗲𝗮𝗹
Hemos observado que la falta de verificaciones de propietarios es una causa raíz común en los exploits de contratos de @solana.
En varios proyectos de alto perfil, las cuentas no verificadas permitieron a los atacantes eludir las puertas lógicas y manipular el estado del programa.
Este verificador está diseñado para detectar y prevenir eso.
𝗤𝘂𝗲 𝗲𝘀 𝗲𝘀𝗲𝗻𝗰𝗶𝗮𝗹 𝗽𝗮𝗿𝗮 𝗹𝗼𝘀 𝗱𝗲𝘃𝗲𝗹𝗼𝗽𝗮𝗱𝗼𝗿𝗲𝘀 𝗱𝗲 𝗦𝗼𝗹𝗮𝗻𝗮
Aunque Solana ofrece rendimiento, viene con complejidad.
La seguridad depende de una cuidadosa validación de cuentas.
Este verificador ayuda a hacer cumplir una suposición crítica que a menudo no se verifica.
Este es el primer verificador de Solana que compartimos. En nuestra próxima publicación, destacaremos otra herramienta clave en la suite de Chain-Fox para detectar vulnerabilidades específicas de Solana.
44
2,99 mil
El contenido de esta página lo proporcionan terceros. A menos que se indique lo contrario, OKX no es el autor de los artículos citados y no reclama ningún derecho de autor sobre los materiales. El contenido se proporciona únicamente con fines informativos y no representa las opiniones de OKX. No pretende ser un respaldo de ningún tipo y no debe ser considerado como un consejo de inversión o una solicitud para comprar o vender activos digitales. En la medida en que la IA generativa se utiliza para proporcionar resúmenes u otra información, dicho contenido generado por IA puede ser inexacto o incoherente. Lee el artículo vinculado para obtener más detalles e información. OKX no es responsable del contenido alojado en sitios de terceros. El holding de activos digitales, incluyendo stablecoins y NFT, implican un alto grado de riesgo y pueden fluctuar en gran medida. Debes considerar cuidadosamente si el trading o holding de activos digitales es adecuado para ti a la luz de tu situación financiera.