Analyse des vulnérabilités du compilateur Solidity et stratégies d'atténuation

Le compilateur est l'un des composants essentiels des systèmes informatiques modernes, sa principale fonction étant de convertir le code source des langages de programmation de haut niveau en instructions exécutables par la machine. Bien que les développeurs et les responsables de la sécurité se préoccupent généralement davantage de la sécurité du code des applications lui-même, le compilateur, en tant que programme informatique, peut également présenter des vulnérabilités de sécurité, ce qui peut, dans certains cas, entraîner des risques de sécurité graves.

Par exemple, lors de la compilation et de l'exécution du code JavaScript, le navigateur peut être sujet à des failles du moteur JavaScript pouvant entraîner une exécution de code à distance, permettant à un attaquant de contrôler le navigateur de la victime voire le système d'exploitation. De même, un bug dans le compilateur C++ peut également provoquer une exécution de code à distance et d'autres conséquences graves. Le compilateur Solidity n'échappe pas à la règle, plusieurs versions présentent des vulnérabilités de sécurité.

Le rôle du compilateur Solidity est de convertir le code des contrats intelligents en instructions exécutables pour la machine virtuelle Ethereum (EVM). Il est important de noter que les vulnérabilités du compilateur Solidity sont différentes des vulnérabilités de l'EVM elle-même. Les vulnérabilités de l'EVM peuvent affecter la sécurité de l'ensemble du réseau Ethereum, tandis que les vulnérabilités du compilateur Solidity touchent principalement les développeurs de contrats intelligents et ne mettent pas directement en péril le réseau Ethereum lui-même.

Une des principales menaces des vulnérabilités du compilateur Solidity est qu'elles peuvent entraîner un code EVM généré qui ne correspond pas aux attentes des développeurs. Étant donné que les contrats intelligents sur Ethereum impliquent souvent des actifs de cryptomonnaie des utilisateurs, tout bug causé par le compilateur peut entraîner une perte d'actifs pour les utilisateurs, avec des conséquences très graves.

Voici quelques exemples réels de vulnérabilités de compilateur Solidity :

1. SOL-2016-9 Nettoyage du stockage de byte à haut ordre

Cette vulnérabilité existe dans les versions antérieures du compilateur Solidity (>=0.1.6 <0.4.4). Dans certains cas, les variables de stockage peuvent être modifiées accidentellement, entraînant un retour de fonction qui ne correspond pas aux attentes. Cette incohérence peut provoquer de graves problèmes dans des opérations critiques telles que la validation des autorisations et la comptabilité des actifs.

2. SOL-2022-4 InlineAssemblyMemorySideEffects

Cette vulnérabilité affecte les compilateurs de version >=0.8.13 et <0.8.15. En raison d'une erreur dans le processus d'optimisation du compilateur, il se peut que certaines opérations d'écriture en mémoire soient incorrectement supprimées, entraînant des valeurs de retour de fonction incorrectes.

3. SOL-2022-6 DébordementAbiReencodingHeadAvecNettoyageDeTableauStatique

Cette vulnérabilité existe dans les compilateurs de versions >= 0.5.8 < 0.8.16. Lors du traitement des opérations abi.encode sur des tableaux de types calldata, il se peut que des données adjacentes soient modifiées par erreur, entraînant une incohérence des données après l'encodage et le décodage.

Concernant les vulnérabilités du compilateur Solidity, voici les recommandations de sécurité suivantes :

Pour les développeurs :

• Utilisez une version plus récente du compilateur Solidity pour réduire les problèmes de sécurité connus.
• Améliorer les cas de test unitaires, augmenter la couverture du code, aide à détecter les problèmes causés par le compilateur.
• Évitez d'utiliser de l'assembleur en ligne, des opérations de codage et de décodage ABI complexes, et utilisez avec prudence les nouvelles fonctionnalités et les fonctionnalités expérimentales.

Pour le personnel de sécurité:

• Considérer les risques que le compilateur Solidity pourrait introduire lors de l'audit de sécurité.
• Dans le processus de développement SDL, incitez l'équipe de développement à mettre à jour la version du compilateur à temps.
• Il est possible d'introduire une vérification automatique pour la version du compilateur dans le processus CI/CD.
• Évaluer l'impact réel sur la sécurité des vulnérabilités du compilateur en fonction des circonstances spécifiques du projet, afin d'éviter une inquiétude excessive.

Quelques ressources utiles :

• Alerte de sécurité publiée par le site officiel de Solidity
• Liste des bugs mise à jour régulièrement dans le dépôt GitHub de Solidity
• Liste des bugs des compilateurs pour chaque version, pouvant être utilisée pour des vérifications automatisées.
• La page de code de contrat sur Etherscan indiquera les vulnérabilités de sécurité existantes dans la version actuelle du compilateur.

En résumé, bien que les vulnérabilités du compilateur Solidity ne soient pas courantes, elles peuvent avoir de graves conséquences. Les développeurs et les professionnels de la sécurité doivent rester vigilants et prendre des mesures appropriées pour réduire les risques associés.