Top 10 des risques de sécurité des contrats intelligents


Par l'équipe de sécurité Blockchain chez Coinbase

Sécuriser les contrats intelligents contre les risques reste difficile. Les vulnérabilités de sécurité non résolues se transforment facilement en menaces existentielles pour la viabilité de votre token. Alors, comment les émetteurs d'actifs peuvent-ils empêcher les vulnérabilités des contrats intelligents de causer de réelles pertes financières sur les réseaux de jetons ?

Protégez les jetons des utilisateurs et les réseaux de jetons des attaquants en apprenant aux développeurs à rédiger des contrats intelligents et à concevoir des preuves solides basées sur cette liste de risques de mise en œuvre ERC-20.

Dans Getting Started with Solidify, nous avons expliqué comment l'équipe de sécurité blockchain de Coinbase effectue un examen intelligent de la vulnérabilité des contrats à grande échelle. Une méta-analyse de quelques centaines de rapports de sécurité des tokens Solidify a abouti à une liste des risques les plus fréquents et les plus graves en fonction de l'impact potentiel sur la sécurité du réseau de tokens.

Les dix principaux risques liés aux contrats intelligents (SCR) se répartissent en trois catégories :

  1. Risques opérationnels : fonctionnalités d'autorisation qui sont exploitées lorsque la gouvernance du réseau de jetons est insuffisante ou défaillante
  2. Risques de mise en œuvre – Erreurs intrinsèques entraînant un comportement involontaire de contrat intelligent
  3. Risques de conception : caractéristiques du système acceptées qui sont exploitées pour modifier le comportement prévu du contrat intelligent

RISQUES OPÉRATIONNELS

SCR-1 : Compte superutilisateur ou gestion des privilèges

Le contrat intelligent implémente des fonctions qui permettent à un rôle privilégié de modifier unilatéralement et arbitrairement la fonctionnalité de l'actif.

SCR-2 : Fonctions d'enregistrement et de liste noire

Le contrat intelligent implémente des fonctions qui permettent à un rôle privilégié d'interdire à une adresse spécifique d'exercer des fonctionnalités essentielles.

SCR-3 : La logique du contrat ou la configuration des actifs peuvent être modifiées arbitrairement

Le contrat intelligent met en œuvre des fonctions qui permettent au titulaire d'un rôle privilégié de modifier unilatéralement et arbitrairement la fonctionnalité de l'actif.

SCR-4 : Fonctionnalités d'autodestruction

Le contrat intelligent implémente une fonction qui permet à un rôle privilégié de supprimer le contrat de jeton de la blockchain et de détruire tous les jetons créés par le contrat.

SCR-5 : Fonctions de frappe

Le smart contract implémente une fonction qui permet à un rôle privilégié d'augmenter l'offre circulante d'un token et/ou le solde d'un compte arbitraire.

RISQUES D'APPLICATION

SCR-6 : Déroulement de votre propre crypto et logique de contrat unique

Le contrat intelligent met en œuvre des fonctions qui permettent au titulaire d'un rôle privilégié de modifier unilatéralement et arbitrairement la fonctionnalité de l'actif.

SCR-7 : Virements non autorisés

Le contrat intelligent contient des fonctions qui contournent les modèles d'autorisation standard pour l'envoi de jetons à partir d'un compte.

SCR-8 : Signature incorrecte ou implémentation arithmétique

Le contrat intelligent contient des opérations qui peuvent entraîner des relevés de contrat ou des soldes de compte inattendus.

RISQUES DE CONCEPTION

SCR-9 : Flux de contrôle peu fiable

Le contrat intelligent invoque des fonctions dans différents contrats intelligents pour activer la fonctionnalité non définie au sein du contrat lui-même.

SCR-10 : Dépendance de l'ordre de transaction

Le contrat intelligent permet un traitement des transactions asynchrone qui peut être exploité à des fins de profit ou de correction de protocole via la réorganisation des transactions mempool.

Pour la sécurité des fonds des clients de Coinbase, l'équipe Coinbase Blockchain Security évalue tous les jetons envisagés pour l'inscription afin d'atténuer les risques appropriés en fonction des vulnérabilités ci-dessus. Si vous cherchez à obtenir un token sur Coinbase, nous vous recommandons de vérifier la sécurité de votre token en examinant et en testant les risques mentionnés ci-dessus.

Les prochains articles vous aideront à examiner la sécurité de votre token en examinant en détail les principaux risques liés aux contrats intelligents et fourniront également des recommandations de contre-mesures.

Si vous souhaitez lister votre jeton sur Coinbase, visitez le Centre d'actifs Coinbase. Si vous souhaitez assurer l'avenir des finances, Coinbase recrute.


Les dix principaux risques de sécurité des contrats intelligents ont été initialement publiés sur le blog Coinbase sur Medium, où les gens poursuivent la conversation en soulignant et en répondant à cette histoire.

Cours Crypto
Logo
Enable registration in settings - general