Мануал/Книга VETEOS: статическая проверка контрактов EOSIO на предмет уязвимостей «День сурка»

[weaver]

VETEOS: Statically Vetting EOSIO Contracts for the “Groundhog Day” Vulnerabilities​

В этой статье мы предлагаем VETEOS, статический инструмент проверки уязвимостей «Дня сурка» в контрактах EOSIO. В атаке «День сурка» злоумышленники используют особую проблему отката в контрактах EOSIO, которая позволяет им постоянно выполнять идентичный код контракта с разными входными данными. Используя информацию, полученную в ходе предыдущих исполнений, эти злоумышленники незаконно собирают информацию о целевом контракте, тем самым находя надежный метод получения несанкционированной прибыли. Чтобы решить эту проблему, мы официально определяем эту уникальную уязвимость как проблему зависимости элементов управления и данных и разрабатываем собственный инструмент статического анализа VETEOS, который может точно обнаруживать такие ошибки непосредственно из байт-кода EOSIO WebAssembly (WASM). VETEOS обнаружил 735 новых уязвимостей и превосходит современный анализатор контрактов EOSIO.

VETEOS: Statically Vetting EOSIO Contracts for the “Groundhog Day” Vulnerabilities - NDSS Symposium

www.ndss-symposium.org

Подробнее тут

https://www.ndss-symposium.org/wp-content/uploads/2024-972-paper.pdf

Исходники

GitHub - HKJL10201/VetEOS: VetEOS

VetEOS. Contribute to HKJL10201/VetEOS development by creating an account on GitHub.

github.com