Solana 檢查器 1
今天,我們推出了Missing Owner Check Checker。
這標誌著我們在 Chain-Fox 系列中第一個關於智能合約分析和安全工具的 @solana 檢查器。
讓我們深入瞭解 🧵
這個檢查器有什麼作用?
它會檢測 Solana 智慧合約何時使用帳戶,而無需驗證它們是否由預期程式擁有。
這種簡單的疏忽可能會導致危險的漏洞。
問題
Solana 程式依賴於外部帳戶。如果合約不檢查帳戶的 owner 字段是否與預期的程式匹配,則惡意行為者可以提供另一個程式擁有的偽造帳戶。
結果可能是許可權提升、邏輯損壞或被盜。
看點重要
帳戶可能看起來有效,但完全由攻擊者控制。
如果跳過擁有權檢查,合約可以:
• 批准虛假代幣轉移
• 接受惡意配置或許可權帳戶
• 寫入不安全的記憶體區域
這些錯誤已經導致了生態系統中的真正漏洞利用。
檢查器的工作原理
此檢查器掃描 Solana 程式以分析指令處理程式中的帳戶使用方式。
它追蹤:
• 訪問帳戶的位置
• 是否驗證 account.owner==expected_program_id
• 缺少驗證的指令上下文
然後,它會標記缺少擁有者檢查的特定帳戶使用網站。
現實世界的影響
我們觀察到缺少所有者檢查是 @solana 合同漏洞的常見根本原因。
在幾個備受矚目的專案中,未經檢查的帳戶使攻擊者能夠繞過邏輯門並縱程序狀態。
此檢查器旨在檢測和防止這種情況。
為什麼它對Solana開發人員至關重要
雖然 Solana 提供了性能,但它也帶來了複雜性。
安全性取決於仔細的帳戶驗證。
此檢查器有助於強制實施經常未經驗證的關鍵假設。
這是我們分享的第一個Solana檢查器。在我們的下一篇文章中,我們將重點介紹 Chain-Fox 套件中另一個用於檢測 Solana 特定漏洞的關鍵工具。
44
2,937
本頁面內容由第三方提供。除非另有說明,OKX 不是所引用文章的作者,也不對此類材料主張任何版權。該內容僅供參考,並不代表 OKX 觀點,不作為任何形式的認可,也不應被視為投資建議或購買或出售數字資產的招攬。在使用生成式人工智能提供摘要或其他信息的情況下,此類人工智能生成的內容可能不準確或不一致。請閱讀鏈接文章,瞭解更多詳情和信息。OKX 不對第三方網站上的內容負責。包含穩定幣、NFTs 等在內的數字資產涉及較高程度的風險,其價值可能會產生較大波動。請根據自身財務狀況,仔細考慮交易或持有數字資產是否適合您。