墨汁の暗号通貨速報

主にETC、BTCを中心に海外で手に入れた情報を最速?で掲載してます

悪用される可能性のあるスマートコントラクトの分析 イーサリアムファンデーション公式発表

f:id:bokujyuumai:20161111041410j:plain

 

イーサリアムファンデーションが前回Solidityのセキュリティアラートを発表しましたが実際に攻撃を受ける可能性のあるスマートコントラクトの調査報告となります。

過去記事をご覧になられていない方は下記にて参照してください。

 

 

bokujyuumai.hatenadiary.com

 

 

ストレージ破損バグの分析

この記事は先週見つかったストレージの破損バグの調査結果の報告です。

まとめると、バグは当初イーサリアムファンデーションが予測したよりはシビアなものではなく、イーサリアムファンデーションの発見したごく少数の影響を受けるコントラクトはオーナーのみが利用可能なもの、またその悪用はユーザーインターフェイスの停止を引き起こし、これは実際のコントラクトのロジックではありません。

 

補足:現存のコントラクトは12,645件でそのうち4つのみが影響を受けます。

全ての悪用可能なコントラクトとDapp(分散型アプリケーション)はコントラクト自体をアップグレードせずに修正が可能でが、常にあなたのコントラクトが安全であるということを確認してください。

 

ソースコードの確認

Solidityコンパイラのストレージ破損バグの発見、バグがすでにデプロイされたアップデートのできないコントラクトに重大な影響を及ぼすという認識のため、イーサリアムファンデーションはどれほど一般的なバグがあるかと悪用可能なコントラクトにどのようにして対処することが出来るかの調査を行いました。

 

重要なスマートコントラクトと人気のスマートコントラクトはコンパイルを確認できるユーザーから信用を得るためにイーサースキャンソースコードを公開するため、イーサースキャンに公開されているスマートコントラクトとソースコードに注目しました。その上もしソースコードが得られない場合はアタックするために最適なエクスプロイト(脆弱性を利用したソースコード)を見つけるのはとても難しくなるためです。

最後に、プライベートに使用されるコントラクト(従ってソースコードを公開する必要はない)は通常特定のアドレスからよびだされいることを確認するため、アタッカーはストレージに書き込むことができないということです

 

 イーサースキャンの全てのコントラクトの調査を自動化するため、バグを引き起こす状態を自動的に検知するモディファイされたSolidityコンパイラを作成しました。

このモディファイにより潜在的に脆弱なコントラクトを167件まで絞込み、その後潜在的にストレージの破損攻撃に晒される脆弱性を持つコントラクトを手動で確認を行いました。

 

補足:約5時間かかったそうです。

 

 

 

悪用される可能性のある10件のコントラクト

その結果10件のコントラクトが脆弱であることが判明し、イーサリアムファンデーションはコントラクトのオーナー/デベロッパーに連絡を行うことが可能となりました。

 

7件のコントラクト:オーナーのみが許可された範囲外のパラメータを変更するという悪用を行えるものまたは、ロックされたか以前のコントラクトをアンロックすることができる

 

1件のコントラクト:権限のないユーザーにより悪用される可能性があるが、そのデザインに他の主要な欠陥のあるもの

 

2件のコントラクト:権限のないユーザーによりもし悪用しても利点のないものまたはユーザーインターフェイスにのみの影響

 

 長くなるので切ります。

 

結論と考察

当初のセキュリティアラートを見たときはストレージ内のファイルが消去などのかなりひどい問題という報告でしたが実際に権限のない外部からの影響の与えるコントラクトは3件のみであり、実際の影響はほぼないと見ていいでしょう

 

これがイーサリアム(ETH)とイーサリアムクラシック(ETC)の価格に影響を与えるかというと現状の80kを目指しているビットコインの煽りを受け下げているのを見るに、更なる下げ止めとなったものと信じたいですね

 

イーサリアムもイーサリアムクラシックも両者とも現状のトレンドに逆らわずあまりいい情報を出さないようにしているように見えます。アルトコインにはきびしい冬になりますね

 

Donate with IndieSquare

 

記事更新には多大な時間がかかり、モチベーション維持が大変です。役に立った、早くしれてよかったなどありましたら気持ちほど寄付していただければ幸いです!

 

Indie Squareなどのカウンターパーティーウォレットをご準備ください。すでにお持ちの方は上記Tip Meから行っていただいた方が自動なので早く(1日〜2日)お返しできます。QRコードの方は手動確認となりますので少々(3-4日)お時間がかかります

 

寄付者には現在1.5円=1BKJにてお返ししております。

BKJトークンでできること

 ・不定期ですが配当をBTCにてお配りします。(第一回は配当済み)

・500BKJ以上保持している方は秘密基地(XCP)の方をアクセスできます!投稿内容は詳しい考察、トレード手法の全公開、自分が見つけた極秘?サイトなど公開、ソーシャルネットワークRedditでまだ未公開の情報の先行公開などいろいろ更新しています。

・特定条件を満たした際、イベントを行いXCPトークンによる投票イベントで景品、ビットコインなどのプレゼントを行います(手数料や送料など一切かかりません)

  

1LsGWycRiMxdfkUpQGT9AUsbe4Kcp4xYiT

f:id:bokujyuumai:20160826064956p:plain            

Bitcoin寄付アドレス              

0x790B488e4b65471BB302fE4Bc2CE19B55Bf23052

f:id:bokujyuumai:20160919045325p:plain

ETC寄付アドレス

 

bitFlyer ビットコインを始めるなら安心・安全な取引所で

 記事の拡散は下から!