Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:blockchain:forenzika_pametnih_ugovora_na_ethereum_blockchainu [2020/01/09 16:50]
dlatecki [Denial of service napad]
+++ racfor_wiki:blockchain:forenzika_pametnih_ugovora_na_ethereum_blockchainu [2024/12/05 12:24] (trenutno)
@@ Redak 1: / Redak 1: @@
 ===== Sažetak =====
+Blockchain tehnologija omogućuje transparentnu i neporecivu komunikaciju koja ima mnoge primjene, od kojih su jedna od njih pametni ugovori. Ethereum platforma pruža fleksibilnost i jednostavnost pri pisanju pametnih ugovora, ali je zbog toga programerima teže na vrijeme uočiti potencijalne sigurnosne propuste. Zbog toga je potrebno upoznati se s čestim potencijalnim programskim greškama i alatima koji mogu pomoći kod sigurnosne analize pri pisanju pametnih ugovora.
+**Ključne riječi:** Ethereum; blockchain; pametni ugovori
 ===== Uvod =====
@@ Redak 91: / Redak 96: @@
 function increment(uint _number) public returns (uint) {
-_number += _number;
+    _number += _number;
-return _number;
+    return _number;
 }
@@ Redak 99: / Redak 104: @@
 Kada se izvrši navedeni kod, vrijednost ''newNumber'' varijable će biti 0, a ne 256. Ovaj problem se najjednostavnije može riješiti koristeći biblioteku //SafeMath//.
@@ Redak 107: / Redak 111: @@
-==== Delegate call ====
+==== Pozivanje vanjskih ugovora koristeći delegatecall() ====
-===== Chapter 4 =====
+Pametni ugovori mogu pozivati druge pametne ugovore preko poziva funkcije ''delegatecall()''.Tada će se programski kod ciljnog ugovora izvršavati u kontekstu trenutnog ugovora, tako da će ''msg.sender'' i ''msg.value'' imati iste vrijednosti kao i u pozivajućem ugovoru. Ovo znači da ugovor može dinamički učitati programski kod s druge adrese prilikom izvršavanja. Na ovaj način se mogu implementirati kompleksniji ugovori te se može ponovno iskoristiti programski kod. Međutim, tada će sve javno dostupne funkcije ugovora koji je pozvan uz pomoć ''delegatecall()'' biti dostupne svim izvršiteljima pametnog ugovora, što nije samo po sebi problem. Sigurnosni propust se može dogoditi ako ugovor koji se poziva nema dobro implementirane sigurnosne provjere jer on sada može manipulirati ugovorom koji ga je pozvao. U tom slučaju napadač može iskoristiti sigurnosne propuste u pozivajućem ugovoru i time nanijeti štetu originalnom pametnom ugovoru.
-===== Chapter 5 =====
-===== Chapter 6 =====
+===== Sigurnosna analiza pametnih ugovora =====
+Metode analize pametnih ugovora na Ethereum platformi možemo svrstati u tri kategorije: statička analiza, dinamička analiza i formalna verifikacija. Za bilo koju od navedenih metoda nam je potreban programski kod pametnog ugovora. Njega možemo pronaći koristeći //Etherscan //unosom adrese željenog pametnog ugovora. Na //Etherscan//-u također možemo pronaći potpunu povijest transakcija koje su izvršene na nekoj adresi.
+**Statičkom analizom** provjeravamo sigurnost koda prije samog izvršavanja. Ova vrsta analize provjerava programski kod i pokušava naći potencijalne sigurnosne propuste provjerom svih ponašanja u programskom kodu i slabosti koje bi mogle nastati pri izvršavanju koda. Za statičku analizu postoje alati kao što su //OYENTE//, //ZEUS//, //GASPER//, //Vandal//, //Ethir, Securify i MAIAN.// Svaki od navedenih alata detektira različite sigurnosne propuste, tako da je preporučeno koristiti više njih kako bi se osigurala veća razina sigurnosti pametnog ugovora.
+**Dinamička analiza** provjerava ispravnost pametnog ugovora dok se on izvršava. Time se oponaša način na koji bi napadač tražio sigurnosne propuste u pametnom ugovoru. Sigurnosni propusti koji bi se identificirali kao lažno negativni u statičkoj analizi se mogu uspješno identificirati uz pomoć dinamičke analize. Dinamička analiza se također može koristiti kao metoda validacije rezultata statičke analize.
+**Formalna verifikacija** koristi dokazivače teorema ili formalne metode iz matematike kako bi se dokazala određena svojstva pametnog ugovora, kao što su funkcijska ispravnost, sigurnost pri izvođenju koda, pouzdanost, itd. Alati za formalnu verifikaciju pametnih ugovora koriste postojeće dokazivače teorema, kao što su //Coq//, //Isabelle/HOL//, //Lem// i //SMT// dokazivači. Primjeri ovakvih alata su //F* Framework// i //FEther// interpreter.
 ===== Zaključak =====
-zaključak.
+Zbog neporecivosti blockchain tehnologije nije moguće promijeniti programski kod postojećih pametnih ugovora, pa je zbog toga potrebni pri pisanju samih ugovora jako paziti na ispravnost i sigurnost. To se može postići upoznavanjem s čestim programskim propustima, korištenjem standardnih biblioteka, uz pomoć alata za statičku i dinamičku analizu, te formalnom verifikacijom programskog koda pametnog ugovora.
 ===== Izvori =====
-[1] [[http://books.google.hr/books?id=mFJe8ZnAb3EC&printsec=frontcover#v=onepage&q&f=false|Plass, Jan L., Roxana Moreno, and Roland Brünken. Cognitive Load Theory. Cambridge University Press, 2010.]]
+[1] [[https://github.com/ethereum/wiki/wiki/White-Paper|Ethereum White Paper]]
+[2] [[https://en.wikipedia.org/wiki/Solidity|Solidity, Wikipedia]]
+[3] [[https://medium.com/coinmonks/common-attacks-in-solidity-and-how-to-defend-against-them-9bc3994c7c18|Common attacks in Solidity and how to defend against them, Joel Foster, 2017.]]
-[2] [[http://www.google.com/books?id=duWx8fxkkk0C&printsec=frontcover#v=onepage&q&f=false|Mayer, Richard E. The Cambridge handbook of multimedia learning. Cambridge University Press, 2005.]]
+[4] [[https://ethereumdev.io/safemath-protect-overflows/|SafeMath biblioteka]]
-[3] [[http://www.cogtech.usc.edu/publications/kirschner_Sweller_Clark.pdf|Kirschner, P. A, Sweller, J. and Clark, R. E. Why minimal guidance during instruction does not work: An analysis of the failure of constructivist, discovery, problem-based, experiential, and inquiry-based teaching. Educational psychologist 41, no. 2, pp 75-86, 2006]]
+[5] [[https://arxiv.org/pdf/1908.08605.pdf|Security Analysis Methods on Ethereum Smart Contract Vulnerabilities — A Survey, Purathani Praitheeshan, Lei Pan, Jiangshan Yu, Joseph Liu, Robin Doss, 2019.]]

racfor_wiki/blockchain/forenzika_pametnih_ugovora_na_ethereum_blockchainu.1578588610.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)