Solana Checker 1
𝗗𝗮𝗻𝗶𝗲 𝗱𝗮𝗻𝗮𝘀 𝗽𝗿𝗲𝘀𝗲𝗻𝘁𝗼𝘄𝗮𝗻𝗮 𝗻𝗮𝗺𝗮 𝗠𝗶𝘀𝘀𝗶𝗻𝗴 𝗢𝘄𝗻𝗲𝗿 𝗖𝗵𝗲𝗰𝗸 𝗖𝗵𝗲𝗰𝗸𝗲𝗿.
To jest nasz pierwszy @solana checker w serii Chain-Fox dotyczącej analizy smart kontraktów i narzędzi bezpieczeństwa.
Zanurzmy się w to 🧵
𝗖𝗼 𝗿𝗼𝘇𝗵𝗼𝗱𝘇𝗶 𝘁𝗲𝗻 𝗰𝗵𝗲𝗰𝗸𝗲𝗿?
Wykrywa, kiedy inteligentne kontrakty Solana używają kont bez weryfikacji, że są one własnością oczekiwanego programu. Ta prosta niedopatrzenie może prowadzić do niebezpiecznych luk w zabezpieczeniach.
𝗣𝗿𝗼𝗯𝗹𝗲𝗺
Programy Solana polegają na zewnętrznych kontach. Jeśli kontrakt nie sprawdzi, czy pole właściciela konta odpowiada zamierzonemu programowi, złośliwy aktor może dostarczyć sfałszowane konto należące do innego programu.
Wynikiem może być eskalacja uprawnień, uszkodzenie logiki lub kradzież.
𝗗𝗹𝗮𝗰𝘇𝗲 𝘁𝗼 𝗷𝗲𝘀𝘁 𝗻𝗼𝗯𝗲𝗿𝗮𝗻𝗱𝗼
Konto może wydawać się ważne, ale być w pełni kontrolowane przez atakującego.
Jeśli sprawdzenia własności zostaną pominięte, kontrakt może:
• Zatwierdzić fałszywe transfery tokenów
• Akceptować złośliwe konta konfiguracyjne lub uprawnienia
• Zapisywać w niebezpiecznych obszarach pamięci
Te błędy już doprowadziły do rzeczywistych exploitów w ekosystemie.
𝗛𝗼𝘄 𝘁𝗵𝗲 𝗰𝗵𝗲𝗰𝗸𝗲𝗿 𝘄𝗼𝗿𝗸𝘀
Ten checker skanuje programy Solana, aby analizować użycie kont w ramach obsługi instrukcji.
Śledzi:
• Gdzie konta są dostępne
• Czy 𝚊𝚌𝚌𝚘𝚞𝚗𝚝.𝚘𝚠𝚗𝚎𝚛==𝚎𝚡𝚙𝚎𝚌𝚝𝚎𝚍_𝚙𝚛𝚘𝚐𝚛𝚊𝚖_𝚒𝚍 jest weryfikowane
• Konteksty instrukcji z brakującymi weryfikacjami
Następnie oznacza konkretne miejsca użycia kont, w których brakuje sprawdzeń właściciela.
𝗚𝗿𝗼𝗺𝗮𝗱𝘇𝗸𝗼 𝗶𝗺𝗽𝗮𝗸𝘁
Obserwowaliśmy brak kontroli właścicieli jako powszechny powód w exploitach kontraktów na @solana.
W kilku głośnych projektach, niekontrolowane konta umożliwiły atakującym ominięcie bramek logicznych i manipulację stanem programu.
Ten kontroler został stworzony, aby wykrywać i zapobiegać temu.
𝗗𝗹𝗮𝗰𝘇𝗲𝗴𝗼 𝗷𝗲𝘀𝘁 𝗻𝗲𝘇𝗯𝗲𝗱𝗻𝗲 𝗱𝗹𝗮 𝗱𝗲𝘃𝗲𝗹𝗼𝗽𝗲𝗿𝗼𝘄 𝗦𝗼𝗹𝗮𝗻𝗮
Chociaż Solana oferuje wydajność, wiąże się to z złożonością.
Bezpieczeństwo zależy od starannej walidacji konta.
Ten kontroler pomaga egzekwować krytyczne założenie, które zbyt często pozostaje niezweryfikowane.
To jest pierwszy kontroler Solana, który udostępniamy. W naszym następnym poście podkreślimy kolejne kluczowe narzędzie w zestawie Chain-Fox do wykrywania specyficznych dla Solany luk w zabezpieczeniach.
44
2,96 tys.
Treści na tej stronie są dostarczane przez strony trzecie. O ile nie zaznaczono inaczej, OKX nie jest autorem cytowanych artykułów i nie rości sobie żadnych praw autorskich do tych materiałów. Treść jest dostarczana wyłącznie w celach informacyjnych i nie reprezentuje poglądów OKX. Nie mają one na celu jakiejkolwiek rekomendacji i nie powinny być traktowane jako porada inwestycyjna lub zachęta do zakupu lub sprzedaży aktywów cyfrowych. Treści, w zakresie w jakim jest wykorzystywana generatywna sztuczna inteligencja do dostarczania podsumowań lub innych informacji, mogą być niedokładne lub niespójne. Przeczytaj podlinkowany artykuł, aby uzyskać więcej szczegółów i informacji. OKX nie ponosi odpowiedzialności za treści hostowane na stronach osób trzecich. Posiadanie aktywów cyfrowych, w tym stablecoinów i NFT, wiąże się z wysokim stopniem ryzyka i może podlegać znacznym wahaniom. Musisz dokładnie rozważyć, czy handel lub posiadanie aktywów cyfrowych jest dla Ciebie odpowiednie w świetle Twojej sytuacji finansowej.