Một trong những giả định quan trọng về bảo mật Ethereum là mã nguồn của hợp đồng thông minh là bất biến và không thể thay đổi sau khi triển khai trên blockchain. Tuy nhiên, trong thực tế, một số hợp đồng thông minh có thể thay đổi – ngay cả sau khi chúng đã được triển khai. Bằng cách sử dụng một số thủ thuật thông minh, bạn có thể tạo ra các hợp đồng thông minh “metamorphic” hoặc “biến đổi” thành một thứ khác – và thông qua việc hiểu rõ điều gì làm cho chúng trở nên khả thi, bạn có thể phát hiện chúng.
1. Metamorphic Contract là gì?
Hợp đồng thông minh Metamorphic, còn được gọi là hợp đồng biến đổi, là những hợp đồng có khả năng thay đổi mã logic bên trong chúng sau khi đã triển khai. Điều này đặt ra một rủi ro đáng kể đối với người dùng web3, đặc biệt là khi những kẻ xấu có thể lợi dụng khả năng biến đổi này để thực hiện các cuộc tấn công gian lận hoặc lừa đảo.
Xem thêm hình vẽ mô tả, tác hại, và đoạn code ví dụ của Metamorphic Contract.
2. Tác hại của Metamorphic Contract
Những hợp đồng thông minh Metamorphic có khả năng biến đổi logic, dẫn đến tác hại tiềm ẩn đối với người dùng web3. Các cuộc tấn công dựa trên tính linh hoạt của chúng có thể dẫn đến việc lừa đảo người dùng và gây thất vọng về tính đáng tin cậy của các hệ thống phi tập trung.
3. Công cụ phát hiện lỗ hổng Metamorphic Contract là gì?
Để phát hiện xem một hợp đồng thông minh có chứa tính năng Metamorphic hay không, đã được xây dựng một công cụ đơn giản có tên Metamorphic Contract Detector: https://metamorphic.a16zcrypto.com/ Công cụ này giúp kiểm tra xem một hợp đồng cụ thể có thể biến đổi hay không bằng cách xem xét một số chỉ số tiềm ẩn.
4. Công cụ này do ai tạo?
Công cụ Metamorphic Contract Detector được giới thiệu bởi quỹ crypto nổi tiếng a16z, được tạo ra dựa trên công trình nghiên cứu của nhiều người, trong đó có Jason Carver và 0age.
5. Cách công cụ hoạt động
Công cụ này kiểm tra một số thuộc tính của hợp đồng thông minh để xem liệu nó có tính năng Metamorphic hay không. Điều này bao gồm việc kiểm tra xem mã bytecode Metamorphic đã được sử dụng để triển khai hợp đồng, xem hợp đồng có khả năng tự phá hủy (self-destruct) hay không, và một số chỉ số khác có thể chỉ ra tiềm năng biến đổi.
6. Đánh giá mức độ hiệu quả của công cụ
Công cụ Metamorphic Contract Detector cung cấp một đánh giá ban đầu về việc một hợp đồng có thể biến đổi hay không, nhưng không phải lúc nào cũng chính xác. Điều này cần kỹ thuật kiểm tra và phân tích bổ sung để xác định chính xác tính biến đổi của một hợp đồng.
7. Cách sử dụng công cụ
Công cụ này có thể được bất kỳ ai sử dụng để kiểm tra xem một hợp đồng thông minh cụ thể có khả năng biến đổi hay không. Sử dụng công cụ này có thể giúp người dùng web3 nhận biết và tránh xa khỏi các cuộc tấn công có liên quan đến Metamorphic Contract.
- Bước 1: Vào công cụ Metamorphic Contract Detector bằng đường link https://metamorphic.a16zcrypto.com
- Bước 2: Nhập link của 1 địa chỉ hợp đồng trên mạng Ethereum mà bạn muốn kiểm tra xem có lỗ hổng Metamorphic Contract không.
Sau khi kiểm tra, công cụ sẽ trả về 6 kết quả sau:
- Code Has Changed: Code đã thay đổi
- Contains SELFDESTRUCT: Chứa tính tự hủy
- Created by Contract
- Contains Metamorphic Init Code
- Contains DELEGATECALL: Chứa Delegate Call
- Deployer Contains CREATE2
Trong một thế giới ngập tràn sự phức tạp của các hợp đồng thông minh và sự phi tập trung của blockchain, việc phát hiện và bảo vệ chống lại các lỗ hổng bảo mật trở nên ngày càng quan trọng. Metamorphic Contract, với khả năng biến đổi và thay đổi mã logic bên trong, đã nêu lên một thách thức mới và tiềm ẩn nguy cơ lớn đối với cộng đồng người dùng web3. Sự xuất hiện của các hợp đồng Metamorphic là một lý do nữa cho việc phát triển các công cụ phát hiện lỗ hổng Metamorphic Contract Detector.
Công cụ này, dựa trên công việc của nhiều người nghiên cứu và phát triển trước đó, đã mang lại một bước tiến lớn trong việc xác định các hợp đồng có khả năng biến đổi. Mặc dù nó không phải là một công cụ tuyệt đối và có thể cho ra những kết quả không chính xác trong một số trường hợp, nhưng nó cung cấp một lựa chọn nhanh chóng để đánh dấu các hợp đồng có khả năng Metamorphic và khuyến cáo sự thận trọng.
Tuy nhiên, chúng ta không nên dừng lại ở đây. Việc nâng cao khả năng phát hiện và phòng ngừa các lỗ hổng bảo mật Metamorphic Contract là một công việc liên tục và cộng đồng cần cùng nhau nỗ lực để bảo vệ môi trường web3 khỏi những nguy cơ tiềm ẩn. Chúng tôi kêu gọi tất cả những người hoạt động trong lĩnh vực blockchain và tiền điện tử tham gia vào việc nghiên cứu và phát triển các công cụ, tiêu chuẩn và quy tắc để đảm bảo tính an toàn và đáng tin cậy của hệ thống.
Cuối cùng, sự hiểu biết về Metamorphic Contract và sẵn sàng học hỏi về cách bảo vệ trước những nguy cơ này là chìa khóa để tiếp tục phát triển và thịnh vượng trong thế giới blockchain ngày càng phức tạp. Công cụ Metamorphic Contract Detector đã mang lại sự nhận thức về mối đe dọa này và hy vọng rằng nó sẽ được sử dụng rộng rãi để đảm bảo sự an toàn của người dùng và sự phát triển bền vững của hệ thống web3.
Cảm ơn bạn đã theo dõi bài viết này và chúng tôi hy vọng rằng thông tin cung cấp trong bài viết sẽ giúp cộng đồng hiểu rõ hơn về Metamorphic Contract và tầm quan trọng của việc phát hiện và phòng ngừa các lỗ hổng bảo mật liên quan đến nó.
Vietnam Pham – Click Digital
- Đầu tư vào các công ty quảng cáo blockchain hàng đầu bằng cách MUA token Saigon (SGN) trên Pancakeswap: https://t.co/KJbk71cFe8 (đừng lo lắng về tính thanh khoản, hãy trở thành nhà đầu tư sớm)
- Được hỗ trợ bởi Công ty Click Digital
- Nâng cao kiến thức về blockchain
- Lợi nhuận sẽ dùng để mua lại SGN hoặc đốt bớt nguồn cung SGN để đẩy giá SGN tăng.
- Địa chỉ token trên mạng BSC: 0xa29c5da6673fd66e96065f44da94e351a3e2af65
- Twitter: https://twitter.com/SaigonSGN135
- Staking SGN: http://135web.net
- If you’d like to invest in top blockchain advertising companies, just BUY Saigon token (SGN) on Pancakeswap: https://t.co/KJbk71cFe8 (do not worry about low liquidity, be the early investor)
- Backed by Click Digital Company
- Enhancing blockchain knowledge
- The profits will be used to repurchase SGN or burn a portion of the SGN supply to drive up the SGN price.
- BSC address: 0xa29c5da6673fd66e96065f44da94e351a3e2af65
- Twitter: https://twitter.com/SaigonSGN135
- Staking SGN: http://135web.net
Digital Marketing Specialist
Related posts:
Ví dụ về lỗ Hổng bảo mật trong smart contract khi check Bằng Securify
Metamorphic Contract: Thay đổi hợp đồng ẩn, lợi hay hại?
Tự Kiểm Tra Tính Logic của Smart Contract Bằng Thủ Công: Cách Thực Hiện và Ví Dụ
Cách Đánh Giá và Tuyển Dụng Nhà Phát Triển Smart Contract và DApp Developer
TikTok là gì? – Ứng dụng truyền thông xã hội phát triển nhanh nhất được phát hiện
Mythril – Công Cụ Kiểm Tra Smart Contract
Slither – Công Cụ Kiểm Tra Smart Contract Tăng Tính Bảo Mật
Securify – Công Cụ Kiểm Tra An Toàn Cho Smart Contract
Oyente Audit – Công cụ Kiểm Thử Smart Contract
MythX Audit: Công cụ Phân Tích Bảo Mật Smart Contract
TLA+ công cụ tránh lỗi Reentrancy trong smart contract của ICP
Code javascript để lấy thời gian hiện tại?
File hình ảnh không hiển thị trên web node.js thay vào đó là ký tự lạ
Lỗ hổng bảo mật của Whatsapp và Telegram giúp cho hacker dễ dàng thâm nhập
Hồng Kông ra Luật về Token hóa Tài sản (Asset Tokenization)
Biến thời gian staked (staketime variable) trong smart contract là gì?
Các sự kiện (events) trong code web3 smart contract?
Code trang chuyển token bằng smart contract, javascript (front-end) và solidity (back-end)
Cách tìm ABI của 1 smart contract?
Smartchef contract là gì ?
Masterchef Contract là gì ?
Contract Instances là gì?
Child Contract (hợp đồng con) trong Solidity: Kế thừa và Khả năng mở rộng
Debugging trong Solidity: tìm lỗi trong smart contract trước khi triển khai
Dịch vụ Smart Contract Audit
SMT Solvers trong Solidity: Công Cụ Hỗ Trợ Kiểm Tra và Phân Tích Mã Nguồn
Signature Replay Attack: Dùng chữ ký để tấn công lặp lại, rút tiền liên tục
zkApp: Bộ công cụ zk của Mina để thiết kế dApp
Các công ty tiền điện tử hàng đầu đã bị phạt ở Mỹ
Tiêu chuẩn ICRC-3: Giao diện lịch sử giao dịch (transaction log)