பிரதான உள்ளடக்கத்திற்குச் செல்

ஸ்மார்ட் ஒப்பந்தப் பாதுகாப்புச் சரிபார்ப்புப் பட்டியல்

ஸ்மார்ட் ஒப்பந்தங்கள்
பாதுகாப்பு
திட்பம்
இடைநிலை
Trailofbits
7 செப்டம்பர், 2020
2 நிமிட வாசிப்பு

ஸ்மார்ட் ஒப்பந்த மேம்பாட்டுச் சரிபார்ப்புப் பட்டியல்

உங்கள் ஸ்மார்ட் ஒப்பந்தங்களை நீங்கள் எழுதும்போது நாங்கள் பின்பற்றுமாறு பரிந்துரைக்கும் ஒரு உயர்-நிலை செயல்முறை இதோ.

அறியப்பட்ட பாதுகாப்புச் சிக்கல்களைச் சரிபார்க்கவும்:

  • உங்கள் ஒப்பந்தங்களை Slither (opens in a new tab) கொண்டு மதிப்பாய்வு செய்யவும். பொதுவான பாதிப்புகளுக்கான 40 க்கும் மேற்பட்ட உள்ளமைக்கப்பட்ட கண்டறிவான்களை இது கொண்டுள்ளது. புதிய குறியீட்டைக் கொண்டு ஒவ்வொரு செக்-இன்னிலும் இதை இயக்கவும் மற்றும் அது ஒரு சுத்தமான அறிக்கையைப் பெறுவதை உறுதி செய்யவும் (அல்லது சில சிக்கல்களை அமைதிப்படுத்த வகைப்படுத்தல் பயன்முறையைப் பயன்படுத்தவும்).
  • உங்கள் ஒப்பந்தங்களை Crytic (opens in a new tab) கொண்டு மதிப்பாய்வு செய்யவும். Slither கண்டறியாத 50 சிக்கல்களை இது சரிபார்க்கிறது. GitHub இல் உள்ள புல் கோரிக்கைகளில் (Pull Requests) பாதுகாப்புச் சிக்கல்களை எளிதில் வெளிப்படுத்துவதன் மூலம், உங்கள் குழு ஒருவருக்கொருவர் புதுப்பித்த நிலையில் இருக்க Crytic உதவக்கூடும்.

உங்கள் ஒப்பந்தத்தின் சிறப்பு அம்சங்களைக் கருத்தில் கொள்ளுங்கள்:

  • உங்கள் ஒப்பந்தங்கள் மேம்படுத்தக்கூடியவையா? உங்கள் மேம்படுத்தல் குறியீட்டில் உள்ள குறைபாடுகளை slither-check-upgradeability (opens in a new tab) அல்லது Crytic (opens in a new tab) கொண்டு மதிப்பாய்வு செய்யுங்கள். மேம்படுத்தல்கள் தவறாகப் போகக்கூடிய 17 வழிகளை நாங்கள் ஆவணப்படுத்தியுள்ளோம்.
  • உங்கள் ஒப்பந்தங்கள் ERC-களுடன் இணங்குவதாகக் கூறுகின்றனவா? slither-check-erc (opens in a new tab) மூலம் அவற்றைச் சரிபார்க்கவும். இந்தக் கருவி ஆறு பொதுவான விவரக்குறிப்புகளிலிருந்து விலகல்களை உடனடியாக அடையாளம் காண்கிறது.
  • நீங்கள் மூன்றாம் தரப்பு டோக்கன்களுடன் ஒருங்கிணைக்கிறீர்களா? வெளிப்புற ஒப்பந்தங்களை நம்புவதற்கு முன், எங்கள் டோக்கன் ஒருங்கிணைப்பு சரிபார்ப்புப் பட்டியலை மதிப்பாய்வு செய்யவும்.

உங்கள் குறியீட்டின் முக்கியமான பாதுகாப்பு அம்சங்களைப் பார்வைக்கு ஆய்வு செய்யுங்கள்:

  • Slither-இன் inheritance-graph (opens in a new tab) பிரிண்டரை மதிப்பாய்வு செய்யவும். கவனக்குறைவான நிழலிடல் மற்றும் C3 நேர்கோடாக்கச் சிக்கல்களைத் தவிர்க்கவும்.
  • Slither-இன் function-summary (opens in a new tab) பிரிண்டரை மதிப்பாய்வு செய்யவும். இது செயல்பாட்டுக் காணக்கூடிய தன்மை மற்றும் அணுகல் கட்டுப்பாடுகளைத் தெரிவிக்கிறது.
  • Slither-இன் vars-and-auth (opens in a new tab) பிரிண்டரை மதிப்பாய்வு செய்யவும். இது நிலை மாறிகள் மீதான அணுகல் கட்டுப்பாடுகளைத் தெரிவிக்கிறது.

முக்கியமான பாதுகாப்புப் பண்புகளை ஆவணப்படுத்துங்கள் மற்றும் அவற்றை மதிப்பீடு செய்ய தானியங்கு சோதனை ஜெனரேட்டர்களைப் பயன்படுத்துங்கள்:

  • உங்கள் குறியீட்டிற்கான பாதுகாப்புப் பண்புகளை ஆவணப்படுத்த கற்றுக்கொள்ளுங்கள். இது முதலில் கடினமாக இருக்கும், ஆனால் ஒரு நல்ல முடிவை அடைய இது மிக முக்கியமான ஒற்றைச் செயல்பாடாகும். இந்தப் பயிற்சிக் கட்டுரையில் உள்ள எந்தவொரு மேம்பட்ட நுட்பங்களையும் பயன்படுத்துவதற்கு இது ஒரு முன்நிபந்தனையாகவும் உள்ளது.
  • Echidna (opens in a new tab) மற்றும் Manticore (opens in a new tab) உடன் பயன்படுத்த, Solidity இல் பாதுகாப்புப் பண்புகளை வரையறுக்கவும். உங்கள் நிலை இயந்திரம், அணுகல் கட்டுப்பாடுகள், எண்கணித செயல்பாடுகள், வெளிப்புறத் தொடர்புகள் மற்றும் தரநிலைகள் இணக்கம் ஆகியவற்றில் கவனம் செலுத்துங்கள்.
  • Slither's Python API கொண்டு பாதுகாப்பு பண்புகளை வரையறுக்கவும். மரபுரிமை, மாறி சார்புகள், அணுகல் கட்டுப்பாடுகள் மற்றும் பிற கட்டமைப்புச் சிக்கல்களில் கவனம் செலுத்துங்கள்.
  • Crytic (opens in a new tab) மூலம் ஒவ்வொரு கமிட்டிலும் உங்கள் பண்பு சோதனைகளை இயக்கவும். Crytic பாதுகாப்புப் பண்பு சோதனைகளை நுகர்ந்து மதிப்பீடு செய்ய முடியும், எனவே உங்கள் குழுவில் உள்ள அனைவரும் அவை GitHub இல் தேர்ச்சி பெறுவதை எளிதாகக் காணலாம். தோல்வியுறும் சோதனைகள் கமிட்களைத் தடுக்கலாம்.

இறுதியாக, தானியங்கு கருவிகளால் எளிதில் கண்டுபிடிக்க முடியாத சிக்கல்களைக் கவனத்தில் கொள்ளுங்கள்:

  • தனியுரிமை இல்லாமை: உங்கள் பரிவர்த்தனைகள் தொகுப்பில் வரிசைப்படுத்தப்பட்டிருக்கும்போது மற்றவர்கள் அனைவரும் அவற்றைப் பார்க்க முடியும்
  • முன் ஓடும் பரிவர்த்தனைகள்
  • மறைகுறியீட்டு செயல்பாடுகள்
  • வெளிப்புற DeFi கூறுகளுடனான அபாயகரமான தொடர்புகள்

உதவி கேட்கவும்

Ethereum அலுவலக நேரம் (opens in a new tab) ஒவ்வொரு செவ்வாய் கிழமை மதியமும் நடைபெறும். இந்த 1-மணிநேர, 1-க்கு-1 அமர்வுகள், பாதுகாப்பு குறித்து உங்களுக்கு ஏதேனும் கேள்விகள் இருந்தால் எங்களிடம் கேட்பதற்கும், எங்கள் கருவிகளைப் பயன்படுத்தி பழுதுநீக்குவதற்கும், உங்கள் தற்போதைய அணுகுமுறை குறித்து நிபுணர்களிடமிருந்து கருத்துக்களைப் பெறுவதற்கும் ஒரு வாய்ப்பாகும். இந்த வழிகாட்டியின் மூலம் செயல்பட நாங்கள் உங்களுக்கு உதவுவோம்.

எங்கள் ஸ்லாக்கில் சேரவும்: Empire Hacking (opens in a new tab). உங்களுக்கு ஏதேனும் கேள்விகள் இருந்தால், நாங்கள் எப்போதும் #crytic மற்றும் #ethereum சேனல்களில் இருப்போம்.

பக்கத்தின் கடைசி புதுப்பிப்பு: 7 பிப்ரவரி, 2025

brossetti1b (opens in a new tab)
sumitvekariyas (opens in a new tab)
nhszn (opens in a new tab)
+4

இந்தப் பயிற்சி உதவியாக இருந்ததா?