تامین امنیت در قراردادهای هوشمند سمینار بررسی انواع آسیب پذیری های مرتبط با بلاکچین و قراردادهای هوشمند smart contract security presentation سعید قاسم شیرازی saeid ghasemshirazi

1. ‫امنیت‬ ‫تامین‬ ‫چگونگی‬ ‫بررسی‬
‫هوشمند‬ ‫های‬ ‫قرارداد‬
‫شیرازی‬ ‫قاسم‬ ‫سعید‬

2. ‫مطالب‬ ‫فهرست‬
04 02
03 01
‫ادبیات‬ ‫مرور‬
‫مفاهیم‬
‫ادبیات‬ ‫نقد‬
‫مقدمه‬

3. ‫چیست؟‬ ‫هوشمند‬ ‫قرارداد‬
●
‫قرارداد‬
‫هوشمند‬
‫یک‬
‫کد‬
‫رایانه‬
‫ای‬
‫است‬
‫که‬
‫می‬
‫تواند‬
‫در‬
‫بالک‬
‫چین‬
‫تعبیه‬
‫شود‬
‫تا‬
‫یک‬
‫قرارداد‬
‫را‬
‫تسهیل‬
‫و‬
‫تایید‬
‫کند‬
.
●
‫قرارداد‬
‫هوشمند‬
‫ابزاری‬
‫نوین‬
‫است‬
‫که‬
‫فرآیند‬
‫انجام‬
‫معامالت‬
‫دربردارنده‬
‫تراکنش‬
‫مالی‬
‫را‬
‫تر‬‫ساده‬
‫سازد‬‫می‬
.
‫ب‬
‫ا‬
‫قرارداد‬
‫هوشمند‬
‫امکان‬
‫انجام‬
‫تراکنش‬
‫بدون‬
‫نیاز‬
‫به‬
‫واسطه‬
‫و‬
‫طرف‬
‫سوم‬
‫فراهم‬
‫شود‬‫می‬
.
●
‫در‬
‫این‬
،‫میان‬
‫پلتفرم‬
‫اتریوم‬
‫سبب‬
‫شده‬
‫تهیه‬
‫قراردادهای‬
‫هوشمند‬
‫و‬
‫اجرای‬
‫آن‬
‫برای‬
‫کاربران‬
‫از‬
‫سراسر‬
‫دنیا‬
‫س‬
‫تر‬‫اده‬
‫شود‬
.

4. ‫آید؟‬‫می‬ ‫کجا‬ ‫از‬ ‫هوشمند‬ ‫قرارداد‬ ‫ایده‬
●
‫سال‬
۱۹۹۴
‫توسط‬
‫نیک‬
‫زابو‬
●
‫ارسال‬
‫و‬
‫دریافت‬
‫پول‬
‫بدون‬
‫نیاز‬
‫به‬
‫واسط‬
‫مورد‬
‫اعتماد‬
!
●
‫بیت‬
،‫کوین‬
‫پایه‬
‫و‬
‫اساس‬
‫قرارداد‬
‫هوشمند‬
‫را‬
‫بر‬
‫بستر‬
‫بالک‬
‫چین‬
‫ایجاد‬
‫کرد‬
.
●
‫با‬
‫ظهور‬
،‫اتریوم‬
‫قراردادهای‬
‫هوشمند‬
‫برای‬
‫عموم‬
‫به‬
‫اجرا‬
‫درآمد‬
‫و‬
‫محرک‬
‫انجام‬
‫معامالت‬
‫بیشتری‬
‫شد‬
.

5. ‫کنند؟‬‫می‬ ‫کار‬ ‫چگونه‬ ‫هوشمند‬ ‫قراردادهای‬
●
‫قاعده‬
‫کلی‬
‫آن‬
‫را‬
‫توان‬‫می‬
‫با‬
‫ی‬‫نحوه‬
‫کار‬
‫های‬‫دستگاه‬
‫فروش‬
‫توضیح‬
‫داد‬
.
●
‫این‬
‫ها‬‫دستگاه‬
‫فقط‬
‫هایی‬‫دستورالعمل‬
‫را‬
‫که‬
‫به‬
‫آنها‬
‫داده‬
‫شود‬‫می‬
،
‫به‬
‫طور‬
‫خودکار‬
‫اجرا‬
‫کنند‬‫می‬
.
●
‫شما‬
‫باید‬
‫به‬
‫مقدار‬
‫مورد‬
‫نیاز‬
‫کریپتوکارنسی‬
‫وارد‬
‫قرارداد‬
‫هوشمند‬
‫کنید‬
‫و‬
‫سپس‬
‫حق‬
‫مالکیت‬
‫خانه‬
‫و‬
‫س‬
‫ایر‬
‫مجوزهای‬
‫الزم‬
‫را‬
‫در‬
‫حساب‬
‫خود‬
‫دریافت‬
‫کنید‬
.
‫در‬
‫ابتدای‬
،‫کار‬
‫دارایی‬
‫ها‬
‫و‬
‫شرایط‬
‫قرارداد‬
‫کدگذاری‬
‫شوند‬‫می‬
‫و‬
‫ب‬
‫ر‬
‫روی‬
‫بالک‬
‫یک‬
‫بالک‬
‫چین‬
‫قرار‬
‫داده‬
‫شوند‬‫می‬
.
‫این‬
‫قرارداد‬
‫چندین‬
‫بار‬
‫بین‬
‫های‬‫گره‬
‫پلتفرم‬
‫توزیع‬
‫و‬
‫کپی‬
‫م‬
‫شود‬‫ی‬
‫و‬
‫پس‬
‫از‬
‫اجرای‬
،‫آن‬
‫قرارداد‬
‫مطابق‬
‫با‬
‫شرایط‬
‫تعیین‬
‫شده‬
‫انجام‬
‫شود‬‫می‬
.
‫عالوه‬
‫بر‬
،‫این‬
‫این‬
‫برنامه‬
‫به‬
‫طور‬
‫خود‬
‫کار‬
‫اجرای‬
‫تعهدات‬
‫را‬
‫نیز‬
‫بررسی‬
‫کند‬‫می‬
.

6. ‫داریم؟‬ ‫نیاز‬ ‫چه‬ ‫به‬ ‫هوشمند‬ ‫قرارداد‬ ‫یک‬ ‫ایجاد‬ ‫برای‬
●
‫موضوع‬
‫قرارداد‬
‫و‬
‫دسترسی‬
‫این‬
‫برنامه‬
‫باید‬
‫به‬
‫کاال‬
‫و‬
‫خدمات‬
‫تحت‬
‫قرارداد‬
‫برای‬
‫قفل‬
‫کردن‬
‫و‬
‫باز‬
‫کردن‬
‫خودکار‬
‫ها‬‫آن‬
‫دسترسی‬
‫داشته‬
‫باش‬
‫د‬
.
●
‫امضاهای‬
‫دیجیتال‬
‫همه‬
‫کنندگان‬‫شرکت‬
‫با‬
‫امضای‬
‫قرارداد‬
‫از‬
‫طریق‬
‫کلیدهای‬
‫خصوصی‬
،‫خود‬
‫نامه‬‫توافق‬
‫را‬
‫آغاز‬
‫کنند‬‫می‬
.
●
‫شرایط‬
‫قرارداد‬
‫شرایط‬
‫قرارداد‬
،‫هوشمند‬
‫به‬
‫شکل‬
‫یک‬
‫رشته‬
‫دقیق‬
‫از‬
‫عملیات‬
‫تعریف‬
‫شود‬‫می‬
‫و‬
‫همه‬
‫کنندگان‬‫شرکت‬
‫باید‬
‫این‬
‫شرایط‬
‫را‬
‫امضا‬
‫کنند‬
.
●
‫پلتفرم‬
‫غیر‬
‫متمرکز‬
‫قرارداد‬
‫هوشمند‬
‫بر‬
‫روی‬
‫بالک‬
‫چین‬
‫پلتفرم‬
‫قرار‬
‫گیرد‬‫می‬
‫و‬
‫بین‬
‫های‬‫گره‬
‫این‬
‫پلتفرم‬
‫نیز‬
‫توزیع‬
‫شود‬‫می‬
.

7. •
‫گیری‬‫رأی‬
•
‫لجستیک‬
•
‫دیجیتال‬ ‫هویت‬
•
‫مرزی‬ ‫برون‬ ‫های‬ ‫پرداخت‬
•
‫باال‬ ‫سطح‬ ‫بهادار‬ ‫اوراق‬
•
‫ها‬ ‫وام‬ ‫و‬ ‫ها‬ ‫وثیقه‬
•
‫مالی‬ ‫اطالعات‬ ‫ثبت‬
•
‫تأمین‬ ‫زنجیره‬ ‫مدیریت‬
•
‫بیمه‬
•
‫تجاری‬ ‫های‬ ‫فعالیت‬
‫واقعی‬ ‫دنیای‬ ‫در‬ ‫هوشمند‬ ‫قرارداد‬ ‫کاربرد‬

8. ‫هوشمند‬ ‫قراردادهای‬ ‫مزایای‬
●
‫شفافیت‬
●
‫‌وری‬
‫ه‬‫بهر‬
‫در‬
‫زمان‬
●
‫دقت‬
●
‫امنیت‬
●
‫اعتماد‬
●
‫هزینه‬
‫کمتر‬
●
‫اتوماتیک‬
‫و‬
‫خودمختار‬

9. ‫هوشمند‬ ‫قراردادهای‬ ‫معایب‬
‫نیستند‬ ‫نقص‬ ‫و‬ ‫عیب‬‫بی‬ ‫جدید‬ ‫های‬‫پروژه‬ ‫از‬ ‫دیگر‬ ‫بسیاری‬ ‫مانند‬ ‫هم‬ ‫هوشمند‬ ‫قراردادهای‬
.
‫ک‬ ‫این‬ ‫از‬ ‫برخی‬
‫ها‬‫استی‬
‫از‬ ‫عبارتند‬
:
❖
‫انسانی‬ ‫عامل‬
❖
‫نامشخص‬ ‫حقوقی‬ ‫وضعیت‬
❖
‫تغییر‬ ‫در‬ ‫دشواری‬
❖
‫اجرا‬ ‫های‬‫هزینه‬

10. ‫هوشمند‬ ‫قراردادهای‬ ‫در‬ ‫بالکچین‬ ‫نقش‬
❖
‫بالکچین‬
‫یک‬
‫پایگاه‬
‫داده‬
‫توزیع‬
‫یافته‬
‫و‬
‫غیرمتمرکز‬
،‫است‬
‫این‬
‫موضوع‬
‫باعث‬
‫می‬
‫شود‬
‫امکان‬
‫تقل‬
‫ب‬
‫یا‬
‫دستکاری‬
‫در‬
‫آن‬
‫به‬
‫حداقل‬
‫برسد‬
.
❖
‫دیگران‬ ‫شدن‬ ‫آگاه‬ ‫بدون‬ ‫اطالعات‬ ‫در‬ ‫تغییری‬ ‫نوع‬ ‫هر‬
‫ممکن‬ ‫غیر‬
‫است‬
!
❖
‫جایگزین‬ ‫بالکچین‬
‫ثالث‬ ‫شخص‬
‫کرد‬ ‫اعتماد‬ ‫آن‬ ‫به‬ ‫توان‬ ‫می‬ ‫و‬ ‫هاست‬ ‫قرارداد‬ ‫در‬
.

11. ‫غیرمتمرکز‬ ‫های‬ ‫برنامه‬
(Decentralized application)
،‫اند‬‫شده‬ ‫ایجاد‬ ‫چین‬ ‫بالک‬ ‫تکنولوژی‬ ‫روی‬ ‫که‬ ‫باز‬ ‫متن‬ ‫افزارهای‬‫نرم‬ ‫به‬
‫متمرکز‬ ‫غیر‬ ‫برنامه‬
‫گوییم‬‫می‬
.
‫ویژگی‌برنامه‌های‌غیرمتمرکز‬
:
●
‫متن‌باز‬
:
‫باشد‬ ‫همه‬ ‫دسترس‬ ‫در‬ ‫ها‬‫آن‬ ‫ی‬‫پایه‬ ‫کد‬ ‫که‬ ‫است‬ ‫الزم‬ ‫شفافیت‬ ‫برای‬
●
‫غیرمتمرکز‬
:
‫سازی‬ ‫متمرکز‬ ‫مشکالت‬ ‫از‬ ‫پیشگیری‬ ‫برای‬
!
●
‫داشتن‬
‫مشوق‬
:
‫کاربرانی‬
‫که‬
‫های‬‫بالک‬
‫بالک‬
‫چین‬
‫را‬
‫تایید‬
،‫کنند‬‫می‬
‫الزم‬
‫است‬
‫که‬
‫با‬
‫پاداش‬
‫گرف‬
‫تن‬
‫های‬‫توکن‬
‫رمزنگاری‬
‫تشویق‬
‫شوند‬
.
●
‫پروتکل‬
:
‫ی‬‫جامعه‬
‫کاربران‬
‫الزم‬
‫است‬
‫روی‬
‫یک‬
‫الگوریتم‬
‫رمزنگاری‬
‫توافق‬
‫کنند‬
‫تا‬
‫اثبات‬
‫ارزش‬
‫آن‬
‫ر‬
‫ا‬
‫نشان‬
‫دهند‬
.

12. Decentralized Autonomous Organization(DAO)
‫چیست؟‬
‫به‬ ‫که‬ ‫شود‬‫می‬ ‫طراحی‬ ‫طوری‬ ،‫خودمختار‬ ‫سازمان‬ ‫یک‬ ‫صورت‬ ‫به‬ ‫که‬ ‫است‬ ‫پلتفرمی‬
‫اتوماتیک‬ ‫و‬ ‫غیرمتمرکز‬ ‫صورت‬
‫کن‬ ‫عمل‬
‫هدف‬ ‫با‬ ،‫د‬
‫است‬ ‫آمده‬ ‫وجود‬ ‫به‬ ‫شرکت‬ ‫یک‬ ‫های‬‫سیاست‬ ‫تعیین‬ ‫و‬ ‫ها‬‫گیری‬‫تصمیم‬ ‫در‬ ‫اختالف‬ ‫مثل‬ ‫مشکالتی‬ ‫کردن‬ ‫برطرف‬
.
‫ویژگی‬
‫های‬
DAO
‫تمرکز‬
‫زدایی‬
:
‫توسط‬
‫یک‬
‫نهاد‬
‫واحد‬
‫و‬
‫متمرکز‬
‫اداره‬
‫نمی‬
‫شود‬
.
‫خودمختاری‬
:
‫می‬
‫تواند‬
‫به‬
‫طور‬
‫خودکار‬
‫و‬
‫بدون‬
‫هیچ‬
‫گونه‬
‫مداخله‬
‫ای‬
‫عملیات‬
‫را‬
‫انجام‬
‫دهد‬
.
‫سازمانی‬
:
‫مانند‬
‫یک‬
‫سازمان‬
‫با‬
‫قوانین‬
‫از‬
‫پیش‬
‫تعیین‬
‫شده‬
‫خود‬
‫اداره‬
‫می‬
‫شود‬
.

13. ‫رمزنگاری‬ ‫از‬ ‫ها‬‫آن‬ ‫در‬ ‫که‬ ‫شود‬‫می‬ ‫گفته‬ ‫دیجیتال‬ ‫ارزهای‬ ‫و‬ ‫پول‬ ‫از‬ ‫ای‬‫دسته‬ ‫به‬ ‫رمزارز‬ ‫یا‬ ‫کریپتوکارنسی‬
(
‫ش‬ ‫گذاری‬ ‫کد‬ ‫و‬ ‫کریپتوگرافی‬
‫ده‬
)
‫برای‬
‫است‬‫شده‬ ‫استفاده‬ ‫مالی‬ ‫های‬‫تراکنش‬
.
‫ویژگی‌رمز‌ارز‌ها‬
:
●
‫دیجیتالی‌بودن‬
●
‫غیرمتمرکز‬
●
‫‌شده‬
‌‫رمزنگاری‬
●
‫بدون‌نیاز‌به‌اعتماد‬
●
‫جهانی‬
:
‫گویند‬‫می‬ ‫فیات‬ ‫ارز‬ ‫آن‬ ‫به‬ ‫که‬ ‫دارد‬ ‫خودش‬ ‫به‬ ‫مخصوص‬ ‫ارز‬ ‫کشور‬ ‫هر‬
.
●
‫همتا‌به‌همتا‬
:
‫شوند‬‫می‬ ‫منتقل‬ ‫دیگر‬ ‫شخص‬ ‫به‬ ‫شخص‬ ‫یک‬ ‫از‬ ‫آنالین‬ ‫صورت‬ ‫به‬
●
‫نام‌مستعار‬
:
‫پرداخت‬ ‫ها‬ ‫ارز‬ ‫رمز‬ ‫معامله‬ ‫به‬ ‫مستعار‬ ‫نام‬ ‫با‬ ‫توان‬ ‫می‬
.
‫چیست؟‬ ‫ارز‬ ‫رمز‬

14. ‫هوشمند‬ ‫های‬ ‫قرارداد‬ ‫مشهور‬ ‫های‬ ‫پلتفرم‬
●
‫اتریوم‬
:
‫اتریوم‬
‫اولین‬
‫پلتفرمی‬
‫است‬
‫که‬
‫قراردادهای‬
‫هوشمند‬
‫را‬
‫به‬
‫صورت‬
‫عملی‬
‫مورد‬
‫استفاده‬
‫قرار‬
‫داد‬
.
●
‫ایاس‬
:
‫برای‬
‫پشتیبانی‬
‫از‬
‫کاربردهای‬
‫غیرمترمرکز‬
‫در‬
‫مقیاس‬
‫تجاری‬
‫این‬
‫امکان‬
‫را‬
‫ایجاد‬
‫کرده‬
‫که‬
‫شرکت‬
‫ها‬
‫برنامه‬
‫های‬
‫بالکچین‬
‫را‬
‫درست‬
‫مانند‬
‫برنامه‬
‫های‬
‫مبتنی‬
‫بر‬
‫وب‬
‫تشکیل‬
‫دهند‬
.
●
‫کاردانو‬
:
‫با‬
‫هدف‬
‫دستیابی‬
‫به‬
‫تراکنش‬
‫های‬
‫سریع‬
‫و‬
‫رایگان‬
‫به‬
‫وجود‬
‫آمده‬
‫است‬
‫تا‬
‫کاربران‬
‫بتوانند‬
‫به‬
‫ارسال‬
‫و‬
‫دری‬
‫افت‬
‫مبالغ‬
‫بپردازند؛‬
‫قراردادهای‬
‫هوشمند‬
‫ایجاد‬
‫کنند‬
‫و‬
‫برنامه‬
‫های‬
‫غیر‬
‫متمرکز‬
‫بسازند‬
.
●
‫استالر‬
:
‫هدف‬
‫استالر‬
‫این‬
‫است‬
‫که‬
،‫ها‬‫بانک‬
‫های‬‫سیستم‬
‫پرداخت‬
‫و‬
‫مردم‬
‫را‬
‫به‬
‫یکدیگر‬
‫متصل‬
‫کند‬
‫تا‬
‫در‬
‫نتیجه‬
‫یک‬
‫پارچه‬
‫شدن‬
‫آن‬
‫ها‬
‫تراکنش‬
‫ها‬
‫با‬
‫سرعت‬
‫بیشتر‬
‫و‬
‫بدون‬
‫هزینه‬
‫انجام‬
‫شوند‬
.
●
‫نئو‬
:
‫تالش‬
‫بر‬
‫ایجاد‬
‫یک‬
‫اقتصاد‬
‫هوشمند‬
‫و‬
‫دیجیتالی‬
‫کردن‬
‫دارایی‬
‫ها‬
‫دارد‬
.

15. Bugs Occur in All Software

16. ●
‫هوشمند‬ ‫های‬ ‫قرارداد‬ ‫در‬ ‫کدنویسی‬ ‫های‬ ‫پیچیدگی‬
(
‫بیشتر‬ ‫باگ‬ ‫تر‬ ‫پیچیده‬ ‫کد‬ ‫هرچه‬
)!
●
‫دالری‬ ‫میلیون‬ ‫های‬ ‫سواستفاده‬ ‫برای‬ ‫ها‬ ‫هکر‬ ‫برای‬ ‫مناسب‬ ‫محلی‬
!
●
‫ویترین‬ ‫یک‬ ‫مثل‬ ‫است‬ ‫مشاهده‬ ‫قابل‬ ‫بالکچین‬ ‫روی‬ ‫چیز‬ ‫همه‬
(
‫کد‬
+
‫دیتا‬
)
●
‫حمله‬ ‫سطح‬
(
(Attack surface
‫است‬ ‫زیاد‬ ‫اتریوم‬ ‫پلتفرم‬ ‫روی‬
!
●
‫ناپذیر‬ ‫تغییر‬ ‫هوشمند‬ ‫های‬ ‫قرارداد‬
(immutable)
‫کرد‬ ‫پچ‬ ‫آنرا‬ ‫نمیشود‬ ‫دیگر‬ ‫رفت‬ ‫بالکچین‬ ‫روی‬ ‫که‬ ‫زمانی‬ ‫هستند‬
.
●
‫کنند‬ ‫پیدا‬ ‫را‬ ‫آن‬ ‫های‬ ‫باگ‬ ‫و‬ ‫اجرا‬ ‫را‬ ‫داد‬ ‫قرار‬ ‫از‬ ‫نسخه‬ ‫یک‬ ‫خود‬ ‫میتوانند‬ ‫ها‬ ‫هکر‬
.
‫هوشمند‬ ‫های‬ ‫قرارداد‬ ‫در‬ ‫افزار‬ ‫نرم‬ ‫تست‬ ‫و‬ ‫امن‬ ‫نویسی‬ ‫کد‬ ‫اهمیت‬ ‫دالیل‬

17. ‫اتریوم‬ ‫پلتفرم‬ ‫نویسی‬ ‫برنامه‬ ‫های‬ ‫زبان‬

18. ‫یک‬
‫زبان‬
‫برنامه‬
‫نویسی‬
‫سطح‬
‫باال‬
‫برای‬
‫ایجاد‬
‫قراردادهای‬
‫هوشمند‬
.
‫مزایای‬
‫سالیدیتی‬
:
❖
‫یادگیری‬
‫و‬
‫استفاده‬
‫بسیار‬
‫آسان‬
❖
‫فراهم‬
‫کردن‬
‫شفافیت‬
‫و‬
‫دقت‬
‫باال‬
❖
،‫سرعت‬
‫کارایی‬
‫باالی‬
‫قراردادهای‬
‫شده‬‫نوشته‬
‫با‬
‫سالیدیتی‬
❖
‫سازگاری‬
‫کامل‬
‫با‬
‫شبکه‬
‫بالک‬
‫چین‬
‫اتریوم‬
❖
‫زبان‬
‫برنامه‬
‫نویسی‬
‫ایستا‬
(
‫امکان‬
‫شناسایی‬
‫خطاها‬
‫در‬
‫مرحله‬
‫توسعه‬
)
‫معایب‬
‫سالیدی‬
:
➢
‫جامعه‬
‫بزرگی‬
،‫ندارد‬
‫بنابراین‬
‫حمایت‬
‫از‬
‫آن‬
‫کم‬
‫است‬
.
➢
‫جهانی‬
‫نیست‬
(
‫فقط‬
‫قابل‬
‫استفاده‬
‫در‬
‫اکوسیستم‬
‫اتریوم‬
)
➢
‫بسیار‬
‫آسیب‬
‫پذیر‬
‫است‬
.
➢
‫امکان‬
‫اشتباه‬
‫باال‬
،‫است‬
‫بنابراین‬
‫همیشه‬
‫باید‬
‫کد‬
‫خود‬
‫را‬
‫به‬
‫روشی‬
‫بسیار‬
‫دقیق‬
‫تست‬
‫کنیم‬
.
‫سالیدیتی‬
Solidity)
)
‫چیست؟‬

19. ‫وایپر‬
‫از‬
‫نظر‬
‫منطقی‬
‫شبیه‬
‫سالیدیتی‬
‫و‬
‫از‬
‫نظر‬
‫سینتکس‬
‫شبیه‬
‫پایتون‬
‫است‬
!
‫و‬
‫دلیل‬
‫به‬
‫وجود‬
‫آمدن‬
‫ان‬
‫افزایش‬
‫امنیت‬
‫است‬
.
‫مزایای‬
‫وایپر‬
:
●
‫سادگی‬
●
‫امنیت‬
●
‫خوانایی‬
●
‫حسابرسی‬
●
‫شده‬‫ساده‬ ‫فرآینده‬
●
‫بیشتر‬ ‫شفافیت‬
●
‫بودن‬ ‫باگ‬ ‫بدون‬
‫وایپر‬
(Vyper)
‫چیست؟‬
‫معایب‬
‫وایپر‬
:
•
‫جدید‬
‫بودن‬
•
‫نبود‬
‫جامعه‬
‫بزرگ‬
‫و‬
‫پشتیبانی‬
‫کامل‬
•
‫در‬
‫حال‬
‫توسعه‬
‫است‬
•
‫بسیاری‬
‫از‬
‫ویژگی‬
‫هایی‬
‫که‬
‫سالیدیتی‬
‫داراست‬
‫را‬
‫ندارد‬
https://vyper.readthedocs.io/en/stable/

20. ✓
ERC20
‫ای‬‫مجموعه‬
‫از‬
‫قواعد‬
‫و‬
‫مقرراتی‬
‫است‬
‫که‬
‫به‬
‫شما‬
‫کمک‬
‫کند‬‫می‬
‫یک‬
‫قرارداد‬
‫هوشمند‬
‫را‬
‫به‬
‫همراه‬
‫هایش‬‫توکن‬
‫بر‬
‫بست‬
‫ر‬
‫اتریوم‬
‫بسازید‬
.
✓
ERC
‫ی‬‫شده‬‫کوتاه‬
‫عبارت‬
Ethereum Request for Comment
‫است‬
‫و‬
‫عدد‬
۲۰
‫ای‬‫شماره‬
‫بوده‬
‫که‬
‫به‬
‫این‬
‫درخواست‬
‫تخصیص‬
‫شود‬‫می‬
.
✓
‫استاندارد‬
ERC20
،
‫فرآیند‬
‫ایجاد‬
‫یک‬
‫توکن‬
‫را‬
‫بسیار‬
‫آسان‬
‫کرده‬
‫است‬
.
✓
‫های‬‫توکن‬
ERC20
‫بدون‬
‫مشکل‬
‫نیستند‬
!
✓
‫ممکن‬
‫است‬
‫به‬
‫صورت‬
‫ناخواسته‬
‫زمانی‬
‫که‬
‫به‬
‫عنوان‬
‫یک‬
‫روش‬
‫پرداخت‬
‫به‬
‫جای‬
‫اتر‬
‫در‬
‫قراردادهای‬
‫هوشمند‬
‫به‬
‫کار‬
،‫روند‬‫می‬
‫تخریب‬
‫شوند‬
.
3
‫میلیون‬
‫دالر‬
‫برای‬
‫این‬
‫نقص‬
‫از‬
‫بین‬
‫رفته‬
‫است‬
.
✓
‫برای‬
‫رفع‬
‫این‬
‫مشکل‬
‫استاندارد‬
ERC223
‫ایجاد‬
‫شد‬
.
‫استاندارد‬ ‫و‬ ‫توکن‬
ERC20

22. ❖
‫اگر‬
‫در‬
‫کد‬
‫منبع‬
‫یک‬
‫قرارداد‬
‫هوشمند‬
‫اشکال‬
‫و‬
‫یا‬
‫پذیری‬‫آسیب‬
‫وجود‬
‫داشته‬
‫باشد‬
،
‫این‬
‫مساله‬
‫برای‬
‫هر‬
‫دو‬
‫طرف‬
‫ق‬
‫رارداد‬
‫می‬
‫تواند‬
‫مشکل‬
‫ساز‬
‫باشد‬
.
❖
‫درسال‬
2016
‫یک‬
‫هکر‬
‫با‬
‫توجه‬
‫به‬
‫ضعف‬
‫هایی‬
‫که‬
‫در‬
‫سیستم‬
‫امنیتی‬
DAO
‫بود‬
‫توانست‬
‫این‬
‫شبکه‬
‫را‬
‫هک‬
‫کند‬
‫و‬
50
‫میلیون‬
‫دالر‬
‫اتریوم‬
‫را‬
‫به‬
‫سرقت‬
‫ببرد‬
‫این‬
‫هک‬
‫باعث‬
‫از‬
‫بین‬
‫رفتن‬
‫اعتماد‬
‫کاربران‬
‫به‬
‫سیستم‬
DAO
‫شد‬
.
‫قرارداد‬ ‫کدمنبع‬ ‫در‬ ‫پذیری‬ ‫آسیب‬

23. ❖
‫محیط‌اجرایی‌نا‌آشنا‬
:
، ‫موبایل‬ ‫مثل‬ ‫شده‬ ‫مدیریت‬ ‫اجرایی‬ ‫های‬ ‫محیط‬ ‫با‬ ‫اتریوم‬
PC
‫است‬ ‫متفاوت‬ ‫ابر‬ ‫یا‬ ‫و‬
.
‫کد‬ ‫که‬ ‫ندارند‬ ‫عادت‬ ‫دهندگان‬ ‫توسعه‬
‫شود‬ ‫اجرا‬ ‫اعتماد‬ ‫بی‬ ، ‫ناشناس‬ ‫جهانی‬ ‫شبکه‬ ‫یک‬ ‫های‬ ‫گره‬ ‫توسط‬ ‫آنها‬
.
❖
‫پشته‌نرم‌افزاری‌جدید‬
:
، ‫سالیدیتی‬ ‫کامپایلر‬ ‫شامل‬ ‫که‬ ‫اتریوم‬ ‫پشته‬
EVM
،
‫و‬ ‫توافق‬ ‫الیه‬
…
‫حال‬ ‫در‬ ‫هنوز‬ ‫متنوع‬ ‫های‬ ‫پذیری‬ ‫آسیب‬ ‫وجود‬ ‫با‬ ،‫است‬
‫است‬ ‫نشده‬ ‫کامل‬ ‫و‬ ‫باشد‬ ‫می‬ ‫توسعه‬
.
❖
‌‫توانایی‌بسیار‌محدود‌در‌اصالح‌قراردادها‬
:
‫شود‬ ‫اصالح‬ ‫تواند‬ ‫نمی‬ ‫بالکچین‬ ‫در‬ ‫شده‬ ‫مستقر‬ ‫قرارداد‬ ‫یک‬ ،‫بالکچین‬ ‫بودن‬ ‫ناپذیر‬ ‫تغییر‬ ‫ماهیت‬ ‫خاطر‬ ‫به‬
.
‫هوشمند‬ ‫های‬ ‫قرارداد‬ ‫های‬ ‫پذیری‬ ‫آسیب‬ ‫و‬ ‫خطرات‬

24. ❖
‫مهاجمان‌ناشناس‌با‌انگیزه‌مالی‬
‫در‬
‫مقایسه‬
‫با‬
‫سایر‬
‫جرایم‬
،‫سایبری‬
‫سواستفاده‬
‫از‬
‫قراردادهای‬
‫هوشمند‬
‫سود‬
‫بیشتری‬
‫دارد‬
.
‫چون‬
‫قیمت‬
‫ارزهای‬
‫دیج‬
‫یتال‬
‫به‬
‫سرعت‬
‫در‬
‫حال‬
‫افزایش‬
‫است‬
.
‫انتقال‬
‫آنها‬
‫سریعتر‬
‫بوده‬
‫و‬
‫به‬
‫دلیل‬
‫ناشناس‬
‫بودن‬
‫خطر‬
‫مجازات‬
‫کمتری‬
‫دارد‬
.
❖
‫وجود‌ماینر‌های‌مخرب‬
‫یک‬
‫ماینر‬
‫مخرب‬
‫می‬
‫تواند‬
‫ترتیب‬
‫تراکنش‬
‫ها‬
‫را‬
‫تغییر‬
‫داده‬
‫و‬
‫با‬
‫اولویت‬
‫بندی‬
‫آنها‬
‫سود‬
‫بدست‬
‫آورد‬
.
‫در‬
‫صورتی‬
‫ک‬
‫ه‬
‫قرارداد‬
‫نوشته‬
‫شده‬
‫به‬
‫وضعیت‬
‫بالک‬
‫وابسته‬
‫باشد‬
‫ماینر‬،
‫می‬
‫تواند‬
‫با‬
‫دستکاری‬
،‫آن‬
‫وضعیت‬
‫را‬
‫تغییر‬
‫دهد‬
.
‫بنابرای‬
‫ن‬
‫هنگام‬
‫نوشتن‬
‫قرارداد‬
‫باید‬
‫به‬
‫این‬
‫موارد‬
‫توجه‬
‫کرد‬
.
‫هوشمند‬ ‫های‬ ‫قرارداد‬ ‫های‬ ‫پذیری‬ ‫آسیب‬ ‫و‬ ‫خطرات‬

25. ❖
‌‫آسیب‌پذیری‬
Re-entrancy
:
‫کند‬ ‫وارد‬ ‫بار‬ ‫چندین‬ ‫کاربر‬ ‫اطالع‬ ‫بدون‬ ‫را‬ ‫یکسان‬ ‫تابع‬ ‫یک‬ ‫تواند‬‫می‬ ‫مهاجم‬ ‫آن‬ ‫طی‬
.
‫خ‬ ‫اجازه‬ ‫ابد‬ ‫تا‬ ‫مهاجم‬ ‫به‬ ‫کار‬ ‫این‬
‫روج‬
‫معروف‬ ‫حمله‬،‫داد‬ ‫خواهد‬ ‫را‬ ‫ها‬‫دارایی‬
DAO
‫داد‬ ‫رخ‬ ‫مساله‬ ‫همین‬ ‫اثر‬ ‫در‬ ‫هم‬
.
‫سالیدیتی‬ ‫به‬ ‫مربوط‬ ‫های‬ ‫پذیری‬ ‫آسیب‬

26. ❖
‫وابستگی‌به‌ترتیب‌تراکنش‌ها‬
(
Transaction-Ordering Dependence
:)
‫وضعیت‬
‫واقعی‬
‫قرارداد‬
‫توسط‬
‫کاربران‬
‫در‬
‫هنگام‬
‫فراخوانی‬
‫و‬
‫انجام‬
‫تراکنش‬
‫قابل‬
‫پیش‬
‫بینی‬
‫نیست‬
.
‫ترتیب‬
‫تراکنش‬
‫تنها‬
‫به‬
‫وسیله‬
‫ماینر‬
‫بالک‬
‫تعیین‬
‫می‬
،‫شود‬
‫حتی‬
‫اگر‬
‫کاربر‬
1
‫تراکنش‬
t1
‫را‬
‫قبل‬
‫از‬
‫کاربر‬
2
‫ارسال‬
،‫کند‬
‫هیچ‬
‫تضمینی‬
‫وجود‬
‫ندارد‬
‫که‬
t1
‫قبل‬
‫از‬
t2
‫اجرا‬
‫شود‬
.
‫بنابراین‬
‫وضعیت‬
‫نهایی‬
‫یک‬
‫قرارداد‬
‫بستگی‬
‫به‬
‫ترتیب‬
‫تراکنش‬
‫ها‬
‫د‬
‫ارد‬
‫که‬
‫توسط‬
‫ماینر‬
‫مشخص‬
‫می‬
‫شود‬
.
❖
‫آسیب‌پذیری‌شرایط‌مسابقه‬
‫شرایط‬
‫مسابقه‬
‫یا‬
race condition
‫در‬
ERC20
‫ها‬
‫هست‬
.
ERC20
‫ها‬
‫یک‬
‫تابع‬
‫به‬
‫اسم‬
approve
‫دارند‬
‫که‬
‫بوسیله‬
‫آن‬
‫می‬
‫توانند‬
‫به‬
‫یک‬
‫فرد‬
‫اجازه‬
‫دهند‬
‫تا‬
‫به‬
‫حد‬
‫مشخصی‬
‫از‬
‫حساب‬
‫برداشت‬
‫کند‬
،
‫اون‬
‫فرد‬
‫می‬
‫تواند‬
‫ما‬
‫را‬
‫فریب‬
‫دهد‬
‫و‬
‫د‬
‫ر‬
‫زمان‬
‫مناسب‬
‫دو‬
‫بار‬
‫از‬
‫حساب‬
‫برداشت‬
‫کند‬
.
‫سالیدیتی‬ ‫به‬ ‫مربوط‬ ‫های‬ ‫پذیری‬ ‫آسیب‬

27. ❖
‌‫آسیب‌پذیری‌وابستگی‌به‌زمان‬
:
‫به‬
‫طور‬
‫معمول‬
‫زمان‬
‫یک‬
‫بالک‬
‫با‬
‫زمان‬
‫سیستم‬
‫محلی‬
‫ماینر‬
‫تنظیم‬
‫می‬
،‫شود‬
‫یک‬
‫ماینر‬
‫خرابکار‬
‫می‬
‫تواند‬
‫زمان‬
‫ب‬
‫الک‬
‫متفاوتی‬
‫را‬
‫انتخاب‬
‫کند‬
‫قراردادهای‬
‫وابسته‬
‫به‬
‫زمان‬
‫را‬
‫دستکاری‬
،‫کند‬
‫برنامه‬
‫نویس‬
‫ها‬
‫نمی‬
‫دانند‬
‫که‬
‫نباید‬
‫ب‬
‫ه‬
timestamp
‫ها‬
‫اعتماد‬
‫کرد‬
.
‫مثال‬
:
‫یک‬
‫ماینر‬
‫اتریوم‬
‫می‬
‫تواند‬
‫تا‬
۱۵
‫ثانیه‬
‫زمان‬
‫رو‬
‫پس‬
‫و‬
‫پیش‬
‫بزند‬
‫و‬
‫با‬
‫این‬
‫روش‬
‫برنده‬
‫یه‬
‫سری‬
‫از‬
‫طرح‬
‫های‬
‫پانزی‬
‫شود‬
.
❖
‌‫عدم‌مدیریت‌استثنا‌در‌سالیدیتی‬
‫در‬
‫قراردادها‬
‫اغلب‬
‫نیاز‬
‫به‬
‫فراخوانی‬
‫های‬
‫متعدد‬
‫داریم‬
.
‫در‬
‫حین‬
‫فراخوانی‬
‫ها‬
‫ممکن‬
‫است‬
‫موارد‬
‫استثنایی‬
‫رخ‬
‫بدهد‬
‫که‬
‫منجر‬
‫به‬
‫خاتمه‬
‫قرارداد‬
‫شده‬
‫و‬
‫یا‬
‫عملکرد‬
‫آن‬
‫مختل‬
‫شود‬
.
‫عدم‬
‫مدیریت‬
‫صحیح‬
‫استثناها‬
‫منجر‬
‫به‬
‫ضررهای‬
‫مالی‬
‫هم‬
‫م‬
‫ی‬
‫شود‬
.
‫مثال‬
:
‫برنامه‬
‫نویس‬
‫تصور‬
‫کند‬‫می‬
‫همه‬
‫چیز‬
‫بر‬
‫طبق‬
‫روال‬
‫پیش‬
‫رود‬‫می‬
‫و‬
‫خروجی‬
‫تابع‬
‫هایی‬
‫مثل‬
‫ارسال‬
‫اتر‬
‫رو‬
‫چک‬
‫ن‬
‫میکند‬
‫و‬
‫برای‬
‫همین‬
‫در‬
‫آینده‬
‫در‬
‫صورت‬
‫وقوع‬
‫یک‬
‫دثه‬‫حا‬
‫غیرمترقبه‬
‫کد‬
‫به‬
‫مشکل‬
‫میخورد‬
‫سالیدیتی‬ ‫به‬ ‫مربوط‬ ‫های‬ ‫پذیری‬ ‫آسیب‬

28. ❖
‫آسیب‌پذیری‌توهم‌آنروپی‌یا‌عدد‌رندوم‬
‫است‬ ‫سختی‬ ‫بسیار‬ ‫کار‬ ‫تصادفی‬ ‫عدد‬ ‫تولید‬ ‫بالکچین‬ ‫ماهیت‬ ‫دلیل‬ ‫به‬
!
❖
‫آسیب‌پذیری‌ایراد‌طراحی‌کتابخانه‬
‫هستند‬ ‫پذیر‬ ‫آسیب‬ ‫کتابخانه‬ ‫این‬ ‫از‬ ‫کنندگان‬ ‫استفاده‬ ‫تمامی‬ ‫باشد‬ ‫داشته‬ ‫باگ‬ ‫کتابخانه‬ ‫یک‬ ‫اگر‬
!
❖
‫باگ‌های‌محاسباتی‬
‫ماشین‬ ‫شمار‬ ‫کیلومتر‬ ‫کنید‬ ‫فرض‬
6
‫از‬ ‫بیش‬ ‫ماشین‬ ‫این‬ ‫با‬ ‫اگر‬ ‫ندارد‬ ‫بیشتر‬ ‫رقم‬
1
‫شمار‬ ‫کیلومتر‬ ‫کنیم‬ ‫حرکت‬ ‫کلیومتر‬ ‫میلیون‬
‫میشود‬ ‫صفر‬
!
‫به‬ ‫توان‬ ‫می‬ ‫هوشمند‬ ‫قراردادهای‬ ‫در‬ ‫که‬
‫بافر‬ ‫سرریز‬ ‫حمالت‬
‫شود‬ ‫منجر‬
.
‫سالیدیتی‬ ‫به‬ ‫مربوط‬ ‫های‬ ‫پذیری‬ ‫آسیب‬

29. ❖
‫ارز‌دیجیتال‌از‌دست‌رفته‌در‌انتقال‬
‫خ‬ ‫بین‬ ‫از‬ ‫انتقال‬ ‫فرآیند‬ ‫در‬ ‫دیجیتال‬ ‫ارز‬ ، ‫شود‬ ‫ارسال‬ ‫ندارد‬ ‫قراردادی‬ ‫هیچ‬ ‫یا‬ ‫و‬ ‫صاحب‬ ‫هیچ‬ ‫که‬ ‫آدرسی‬ ‫به‬ ‫اتریوم‬ ‫اگر‬
‫واهد‬
‫رفت‬
!
❖
‫آسیب‌پذیری‌در‌کنترل‌دسترسی‬
‫باشند‬ ‫داشته‬ ‫دسترسی‬ ‫قرارداد‬ ‫در‬ ‫حساس‬ ‫های‬ ‫قابلیت‬ ‫و‬ ‫عملکردها‬ ‫به‬ ‫که‬ ‫دهد‬‫می‬ ‫اجازه‬ ‫هکر‬ ‫به‬
.
❖
‫باگ‌های‌محاسباتی‬
‫فرض‬
‫کنید‬
‫کیلومتر‬
‫شمار‬
‫ماشین‬
6
‫رقم‬
‫بیشتر‬
‫ندارد‬
‫اگر‬
‫با‬
‫این‬
‫ماشین‬
‫بیش‬
‫از‬
1
‫میلیون‬
‫کلیومتر‬
‫حرکت‬
‫کنیم‬
‫کیلومتر‬
‫شمار‬
‫صفر‬
‫میشود‬
!
‫که‬
‫در‬
‫قراردادهای‬
‫هوشمند‬
‫می‬
‫توان‬
‫به‬
‫حمالت‬
‫سرریز‬
‫بافر‬
‫منجر‬
‫شود‬
.
‫های‬ ‫پذیری‬ ‫آسیب‬
EVM

30. ❖
‫آسیب‌پذیری‌نقض‌راهنمای‌سبک‬
(Style Guide violation)
‫ت‬ ‫از‬ ‫قبل‬ ‫را‬ ‫ها‬ ‫الگو‬ ‫تطبیق‬ ‫سالیدیتی‬ ‫کامپایلر‬ ‫و‬ ‫است‬ ‫حروف‬ ‫به‬ ‫حساس‬ ‫نویسی‬ ‫برنامه‬ ‫زبان‬ ‫یک‬ ‫سالیدیتی‬
‫های‬ ‫قرارداد‬ ‫دوین‬
‫میکند‬ ‫اجرا‬ ‫بالکچین‬ ‫در‬ ‫و‬ ‫داده‬ ‫تشخیص‬ ‫هوشمند‬
.
‫های‬ ‫پذیری‬ ‫آسیب‬
EVM
‫‌الگوی‌خوب‬ ‫تطبی‬
‌
‫‌الگوی‌بد‬ ‫تطبی‬
‌
contractTheTimeLock
contractthetimeLock
functioncallAlice)(
functionCallAlice)(
eventLog(string message);
eventlog(string message);

31. ❖
‫دلیل‬
‫اصلی‬
‫عدم‬
‫امنیت‬
‫قرارداد‬
‫های‬
‫هوشمند‬
‫ناهماهنگی‬
‫بین‬
‫رفتار‬
‫مورد‬
‫نظر‬
‫ما‬
‫از‬
‫قراردادهوشمند‬
‫و‬
‫رفتار‬
‫واقعی‬
‫آن‬
‫است‬
.
❖
‫ارزیابی‌عملکرد‌ابزار‌های‌مختلف‌در‌این‌حوزه‌به‌خوبی‌انجام‌نگرفته‌است‬
.
❖
‌‫مقاالت‌موجود‌بیشتر‌تمرکز‌بر‌روی‌ابزار‌های‬
‫آکادمیک‬
‫د‬
‫ارند‌تا‌ابزار‌های‌مورد‌استفاده‌در‌شرکت‌ها‬
.
‫ادبیات‬ ‫نقد‬

32. ‫هوشمند‬ ‫های‬ ‫قرارداد‬ ‫امنیت‬ ‫تحلیل‬ ‫و‬ ‫تجزیه‬ ‫های‬ ‫روش‬ ‫انواع‬
‫نوع‌ورودی‬
‫متدلوژی‬
‫نوع‌آنالیز‬
Bytecode
Bytecode
Bytecode
Solidity code
Solidity code
Bytecode
Symbolic execution
Control Flow Graph construction
Pattern recognition
Rule-based analysis
Compilation
Decompilation
Static analysis
Bytecode
Bytecode
Bytecode
Bytecode
Execution trace at run-time
Transaction graph construction
Symbolic analysis
Validation of true/false positives
Dynamic Analysis
Bytecode
Solidity code
bytecode
Using theorem provers
Translation of formal language
Construction of program logics
Formal Verification

33. ‫هوشمند‬ ‫های‬ ‫قرارداد‬ ‫امنیت‬ ‫تامین‬ ‫مشکالت‬
‫کدنوسی‬ ‫های‬ ‫روش‬ ‫نبود‬
‫امن‬
‫پیچید‬ ‫باگ‬ ‫رفع‬ ‫پروسه‬
‫ه‬
‫نااشن‬ ‫نویسان‬ ‫برنامه‬
‫ا‬
‫متفاوت‬ ‫پروسه‬
‫های‬ ‫لیست‬ ‫چک‬ ‫نبود‬
‫مناسب‬ ‫امنیتی‬
‫تغییر‬
‫ناپذیری‬
‫و‬ ‫جامع‬ ‫ابزار‬ ‫نبود‬
‫ساده‬
‫بر‬ ‫نظارت‬ ‫هزینه‬
‫باال‬ ‫امنیت‬

34. ‫هوشمند‬ ‫های‬ ‫قرارداد‬ ‫امنیت‬ ‫تامین‬ ‫برای‬ ‫آتی‬ ‫کارهای‬
‫مطاب‬ ‫امنیتی‬ ‫های‬ ‫لیست‬ ‫چک‬ ‫ارائه‬
‫ق‬
‫ها‬ ‫پذیری‬ ‫آسیب‬ ‫ترین‬ ‫جدید‬ ‫با‬
‫و‬ ‫تست‬ ‫برای‬ ‫جامع‬ ‫ابزاری‬ ‫ارائه‬
‫ه‬ ‫پلتفرم‬ ‫تمامی‬ ‫سنجی‬ ‫اعتبار‬
‫ای‬
‫هوشمند‬ ‫قراردادهای‬
‫ایجاد‬ ‫فرایند‬ ‫سازی‬ ‫استاندارد‬
‫هوشمند‬ ‫قراردادهای‬ ‫در‬ ‫امنیت‬
‫کشف‬ ‫های‬ ‫الگوریتم‬ ‫بهبود‬
‫پذیری‬ ‫آسیب‬ ‫اتوماتیک‬
‫ا‬ ‫استفاده‬ ‫با‬ ‫امن‬ ‫کدنویسی‬
‫ز‬
‫مصنوعی‬ ‫هوش‬