Проблемы обеспечения информационной безопасности смарт-контрактов в системах на основе технологии распределенных реестров

Авторы: Репин Максим Михайлович, Кривоногов Антон Алексеевич

Тип: монография Язык: русский ISBN: 978-5-93673-286-7

Год издания: 2020 Место издания: Москва Число страниц: 100

Издательство: ООО "Издательство ТРИУМФ" (Москва)

АННОТАЦИЯ:

Основой функционирования большинства систем на основе распределенных реестров являются смарт-контракты. Смарт-контракт содержит основную бизнес-логику функционирования системы. Поэтому одними из важнейших задач для устойчивой работы смарт-контракта является оценка корректности его функционирования, безопасности, проверка на отсутствие уязвимостей информационной безопасности. В данной работе представлена методика анализа уязвимостей смарт-контрактов, основанная на оценке критичности их воздействия на устойчивость работы и безопасность системы. Представлен анализ наиболее популярных платформ для написания смарт-контрактов, в т. ч. рассматриваются типовые языки, применяемые для создания смарт-контрактов, их особенности, преимущества и недостатки. Также осуществляется анализ типовых критически важных ошибок в коде смарт-контракта, которые могут привести к фатальным последствиям. Представленная типовая методика анализа уязвимостей смарт-контрактов, которая может применяться при разработке смарт-контрактов для различных систем на распределенных реестрах и может быть интересна разработчикам подобных систем и специалистам по информационной безопасности.

СПИСОК ЦИТИРУЕМОЙ ЛИТЕРАТУРЫ:
 
 
1.  Краткое пошаговое руководство по технологии Blockchain [Электронный ресурс] – Режим доступа: URL: https://medium.com/bitcoin-review/краткое-пошаговое-руководство-по-технологии-blockchain-a9ff61079098 (15.02.2020)  
2.  Что такое технология распределенного реестра? [Электронный ресурс] – Режим доступа: URL: https://beincrypto.ru/chto-takoe-tehnologiya-raspredelennogo-reestra/ (29.01.2020)  
3.  Галкова Е.В. Блокчейн на пике хайпа. Правовые риски и возможности. М.: Изд-во «Высшая Школа Экономики (ВШЭ)», 2017. 153 с.  
4.  D'AliessiM. HowDoesEthereumWork [Электронный ресурс] – Режим доступа: URL: https://medium.com/@micheledaliessi/how-does-ethereum-work-8244b6f55297 (01.02.2020)  
5.  N. Szabo. Formalizing and securing relationships on public networks. [Электронный ресурс] – Режим доступа: URL: http://journals.uic.edu/ojs/index.php/fm/article/view/548 (28.01.2020)  
6.  Praitheeshan, Purathani & Pan, Lei & Yu, Jiangshan & Liu, Joseph & Doss, Robin. Security Analysis Methods on Ethereum Smart Contract Vulnerabilities: A Survey [Электронныйресурс] – Режимдоступа: URL: https://arxiv.org/pdf/1908.08605.pdf (01.02.2020)  
7.  Оракулы, или почему смарт-контракты всё ещё не изменили мир [Электронный ресурс] – Режим доступа: URL: https://habr.com/ru/company/solarsecurity/blog/418791/ (13.02.2020)  
8.  Siegel D. Understanding The DAO Attack [Электронныйресурс] – Режимдоступа: URL: https://www.coindesk.com/understanding-dao-hack-journalists (10.03.2020)  
9.  Примеры проблем безопасности Solidity от Trailofbits [Электронный ресурс] – Режим доступа: URL: https://github.com/trailofbits/not-so-smart-contracts (20.05.2020)  
10.  Known Attacks – Ethereum Smart Contract Best Practices [Электронныйресурс] – Режимдоступа: URL: https://consensys.github.io/smart-contract-best-practices/known_attacks/ (14.04.2020)  
11.  Репин М. М., Пшехотская Е. А. Обеспечение информационной безопасности смарт-контрактов в системах на основе технологии распределенных реестров [Электронный ресурс] – Режим доступа: URL: http://samag.ru/archive/article/3880 (20.02.2020)  
12.  Pros and Cons of Smart Contracts [Электронныйресурс] – Режимдоступа: URL: https://atozmarkets.com/news/pros-and-cons-of-smart-contracts/ (23.02.2020)  
13.  Elli Androulaki, Artem Barger, Vita Bortnikov, Christian Cachin, Konstantinos Christidis, et al. Hyperledger Fabric: A Distributed Operating System for Permissioned Blockchains [Электронныйресурс] – Режимдоступа: URL: https://arxiv.org/pdf/1801.10228.pdf (26.02.2020)  
14.  Allombert, Victor & Bourgoin, Mathias & Tesson, Julien. Introduction to the Tezos Blockchain [Электронныйресурс] – Режимдоступа: URL: https://arxiv.org/pdf/1909.08458.pdf (29.02.2020)  
15.  M. Di Angelo and G. Salzer. A survey of tools for analyzing ethereum smart contracts [Электронныйресурс] – Режимдоступа: URL: https://publik.tuwien.ac.at/files/publik_278277.pdf (01.03.2020)  
16.  So you want to check your smart contract for security bugs [Электронныйресурс] – Режимдоступа: URL: https://klevoya.com/blog/check-smart-contract-for-bugs/ (07.03.2020)  
17.  Automated Security Analysis of Ethereum Smart Contracts [Электронныйресурс] – Режимдоступа: URL: https://medium.com/chainsecurity/chainsecurity-news-automated-security-analysis-of-ethereum-smart-contracts-74ccde9bb76d (09.03.2020)  
18.  Тестовая блокчейн-сеть Go-Ethereum [Электронный ресурс] – Режим доступа: URL: https://github.com/ethereum/go-ethereum (12.04.2020)  
19.  Decentralized Application Security Project (or DASP) Top 10 of 2018 [Электронныйресурс] – Режимдоступа: URL: https://dasp.co (10.03.2020)  
20.  Thomas Durieux, João F. Ferreira, Rui Abreu, Pedro Cruz. Empirical Review of Automated Analysis Tools on 47,587 Ethereum Smart Contracts [Электронныйресурс] – Режимдоступа: URL: https://arxiv.org/pdf/1910.10601.pdf (24.02.2020)  
21.  P. Tsankov, A. Dan, D. D. Cohen, A. Gervais, F. Buenzli, and M. Vechev. Securify: Practical security analysis of smart contracts [Электронныйресурс] – Режимдоступа: URL: https://arxiv.org/pdf/1806.01143.pdf (10.03.2020)  
22.  Mossberg, Mark & Manzano, Felipe & Hennenfent, Eric & Groce, Alex & Grieco, Gustavo & Feist, Josselin & Brunson, Trent & Dinaburg, Artem. Manticore: A User-Friendly Symbolic Execution Framework for Binaries and Smart Contracts [Электронныйресурс] – Режимдоступа: URL: https://arxiv.org/pdf/1907.03890.pdf (12.03.2020)  
23.  Инструмент динамического анализа смарт-контрактов MAIAN[Электронный ресурс] – Режим доступа: URL: https://github.com/MAIAN-tool/MAIAN (15.03.2020)  
24.  Инструмент статического анализа смарт-контрактов Securify 2.0 [Электронный ресурс] – Режим доступа: URL: https://github.com/eth-sri/securify2 (29.03.2020)  
25.  Инструмент статического анализа смарт-контрактов Smartcheck [Электронный ресурс] – Режим доступа: URL: https://github.com/smartdec/smartcheck (30.03.2020)  
26.  GauravA. EthereumEcosystemStatistics [Электронный ресурс] – Режим доступа: URL: https://medium.com/quiknode/ethereum-ecosystem-statistics-7fb5999a45c9 (05.04.2020)  
27.  Смаль В. 25% всех смарт-контрактов содержат критические ошибки [Электронный ресурс] – Режим доступа: URL: https://happycoin.club/25-vseh-smart-kontraktov-soderzhat-kriticheskie-oshibki/ (05.04.2020)  
28.  Методика определения безопасности информации в информационных системах [Электронный ресурс] – Режим доступа: URL: https://fstec.ru/component/attachments/download/812 (28.03.2020)  
29.  Реестр уязвимостей SWC [Электронный ресурс] – Режим доступа: URL: https://swcregistry.io/ (12.04.2020)  
30.  Компилятор solc-select [Электронный ресурс] – Режим доступа: URL: https://github.com/crytic/solc-select (15.04.2020)  
31.  Примеры смарт-контрактов Solidity [Электронный ресурс] – Режим доступа: URL: https://github.com/crytic/not-so-smart-contracts (21.04.2020)  
32.  Александр Фролов. Создание смарт-контрактов Solidity для блокчейна Ethereum. Практическое руководство [Текст] / Александр Фролов. – М.: ЛитРес: Самиздат, 2019. – 240 с.  
33.  Atzei N., Bartoletti M., Cimoli T. A survey of attacks on Ethereum smart contracts (fs) [Текст] / Principles of Security and Trust. – М.: Springer, Berlin, Heidelberg, 2017. – 164-186 c.  
34.  E. Hildenbrandt et al. KEVM: A Complete Formal Semantics of the Ethereum Virtual Machine [Текст] / 2018 IEEE 31st Computer Security Foundations Symposium (CSF), Oxford, 2018. – 204-217 с.  
35.  Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Cédric Fournet, Anitha Gollamudi, Georges Gonthier, et al. Formal Verification of Smart Contracts: Short Paper. [Текст] / ACM Workshop on Programming Languages and Analysis for Security (PLAS ’16). Association for Computing Machinery, New York, NY, USA, 2016. – 91-96 c.  
36.  E. Marchenko and Y. Alexandrov. Smartcheck: Static analysis of ethereum smart contracts [Текст] / 1st International Workshop on Emerging Trends in Software Engineering for Blockchain, ser. WETSEB ’18. ACM, 2018, – 9-16 с.  
37.  Bishwas C Gupta. Analysis of Ethereum Smart Contracts – A Security Perspective [Текст] / Department of Computer Science and Engineering. Indian Institute of Technology Kanpur, 2019, – 70 c.  
38.  Антон Вашкевич. Смарт-контракты: что, зачем и как. – М.: Симплоер, 2018. – 98 с.  
39.  Gilot B. /. Code! = Law // CryptoIQ. 2016. [Электронный ресурс]— Режим доступа:URL: http://blog.cryptoiq. ca/?p=534.  
40.  Колесников П., Бекетнова Ю., Крылов Г. Технология блокчейн. Анализ атак, стратегии защиты. Изд-во LAPLAMBERTAcademicPublishingRU, 2017/ 77 c.  
41.  Репин М.М., Пшехотская Е.А., Простов И.А., Амфитеатрова С.С. Использование платформы на основе распределенных реестров Ripple в банковских платежных системах // Системный администратор. 2019. № 3(196) С. 86-89.