securify

Cette version de Securify est obsolète et ne sera plus prise en charge. Veuillez utiliser Securify v2.0.

Securify est un scanner de sécurité pour les contrats intelligents Ethereum soutenus par la Fondation Ethereum et Chainsecurity. La recherche principale derrière Securify a été menée au Ice Center de Eth Zurich.

Il dispose d'une liste approfondie de modèles de sécurité couramment trouvés dans les contrats intelligents:

• Certaines formes du bug DAO (également connu sous le nom de réentrance)
• éther verrouillé
• validation d'entrée manquante
• Montant, récepteur et transfert dépendant de la commande des transactions
• Exceptions non gérées
• flux d'éther sans restriction

Le projet est censé être une plate-forme ouverte accueillant les contributions de toute la communauté de la sécurité Ethereum. Pour suggérer de nouveaux modèles, pour faire du bénévolat pour les tests ou pour contribuer à développer de nouveaux modèles, veuillez nous contacter grâce à notre groupe Discord.

• Soufflé: https://github.com/souffle-lang/souffle/releases (Securify devrait fonctionner avec le dernier package, veuillez soulever un problème si ce n'est pas le cas). Si vous ne pouvez pas installer Soufflé, regardez le conteneur Docker pour une alternative. Securify se bloquera sans le souffle Binary. Au cours de la rédaction, Soufflé n'est pas disponible sur Windows, il ne faut donc pas non plus s'exécuter sur Windows.
• Java 8
• Un binaire solc doit pouvoir utiliser le fichier Solidity comme entrée. Securify suppose que la bonne version est installée pour le fichier donné. solc est disponible ici.

Pour construire:

./gradlew jar

Pour exécuter la sécurisation sur un fichier de solidité:

java -jar build/libs/securify.jar -fs src/test/resources/solidity/transaction-reordering.sol

Pour exécuter la sécurisation sur la sortie de décompilation fournie par le script pysolc.py (qui nécessite Py-Solc):

java -jar build/libs/securify.jar -co out.json

Pour exécuter la sécurité sur un binaire EVM (produit par exemple par solc ):

java -jar build/libs/securify.jar -fh src/test/resources/solidity/transaction-reordering.bin.hex

Pour voir la liste complète des options:

java -jar build/libs/securify.jar -h

Pour exécuter les tests (qui utilisent JUnit4):

./gradlew test

Un emballage Python aide à gérer solc et truffle . Les exigences sont dans le fichier exigence.txt. Le dockerfile peut être utilisé comme référence pour configurer votre environnement local pour utiliser ce wrapper.

L'installation doit être assez simple sur les dérivés Debian, ou toute autre plate-forme prise en charge par Soufflé.

Pour une démonstration rapide qui ne nécessite pas de soufflé, vous pouvez utiliser Docker.

Construisez l'image Docker:

docker build . -t securify

Exécutez la sécurisation sur un petit exemple:

docker run securify

Vous pouvez modifier les fichiers analysés en spécifiant un volume à monter, et chaque fichier *.sol contenu sera ensuite traité par Securify:

docker run -v $( pwd ) /folder_with_solidity_files:/project securify

L'ajout d'un indicateur --truffle devrait permettre à Securify d'exécuter le projet de truffes dans lequel les dépendances ont déjà été installées (alors exécutez npm install avant le besoin). Sans ce drapeau, le projet est compilé à l'aide de solc . Ajoutez un -h pour obtenir la liste complète des options. En particulier, si l'utilisateur souhaite recevoir des informations de compilation de truffe, il doit ajouter l'indicateur -v .

Si l'on veut recevoir la sortie JSON, le Docker prend en charge un drapeau --json qui supprimera la sortie jolie et renverra JSON à la place. Assurez-vous d'ajouter l'indicateur -q si aucune information de progression ne doit être affichée, ce qui entraîne une sortie JSON pure. Les indices des lignes correspondants sont basés sur 0, ce qui signifie qu'une correspondance à la ligne i signifie que la ligne i+1 Th est appariée. En particulier, la première ligne a un indice de 0.

Les tests de base de bout en bout peuvent être exécutés via le fichier test.py:

 python3 test . py

Les exigences peuvent être installées à l'aide de PIPENV:

pipenv install

ou en utilisant pip :

pip install -r requirements.txt

Ces tests comparent la sortie JSON actuelle donnée par Securify avec une certaine sortie passée et signalent les différences entre les deux.

Vous pouvez ajouter les .travis.yml suivants à votre projet pour exécuter la sécurisation sur les nouveaux engins:

 services:
  - docker

before_install:
  - docker pull chainsecurity/securify

script:
- docker run -v $(pwd):/project chainsecurity/securify

Cela devrait permettre à Securify d'exécuter le projet de truffes dans lequel les dépendances ont déjà été installées (alors exécutez npm install avant le besoin).

La sortie suit de manière lâche le style Clang. Seuls les avertissements et les vulnérabilités sont signalés. Si l'on souhaite également obtenir les informations de conformité, veuillez utiliser l'indicateur --json dans le drapeau Docker, ou -co sur l'exécutable Java pour obtenir toutes les informations d'analyse au format JSON.

Voir contribution.md.

Rejoignez notre discorde pour discuter avec d'autres utilisateurs.

Bien que Securify soit régulièrement utilisé pour aider les audits à Chainsecurity, il y a encore des bogues, notamment:

• Le code de la fonction de secours n'est actuellement pas analysé. Une solution de contournement consiste à nommer cette fonction à la place.
• Dans certains cas, une exception Stackoverflowerror est lancée, en raison de la récursive computeBranches . Dans la plupart des cas, il suffit d'augmenter la taille de la pile à l'aide de l'option -Xss de java , par exemple java -Xss1G -jar ...
• Les bibliothèques ne sont pas correctement prises en charge
• Les contrats abstraits (dont le binaire ne peut pas être obtenu via solc ) ne sont pas pris en charge

• Document de recherche Securify présenté à ACM CCS'18 à Toronto, Canada
• Résumé du document de recherche Securify dans le journal du matin
• TechCrunch: Ce scanner de contrat intelligent s'assurera que votre jeton est à Tip-top
• Parler à EPFL à Lausanne
• Parler à DevCon3 à Cancún
• Parler à d10e à Davos
• Des chercheurs de Eth Zurich publient un scanner de sécurité de pointe pour les contrats intelligents Ethereum
• Analyse de sécurité automatisée des contrats intelligents Ethereum
• Détecter automatiquement le bug qui a gelé les portefeuilles de la parité

Securify analyse statiquement le code EVM du contrat intelligent pour déduire des informations sémantiques importantes (y compris les faits de contrôle et de flux de données) sur le contrat. Cette étape est entièrement automatisée à l'aide de Soufflé, un solveur deograves évolutif. Ensuite, Securify vérifie les faits inférés pour découvrir les violations de la sécurité ou prouver la conformité des instructions pertinentes à la sécurité.

Les détails techniques complets derrière le scanner Securify sont disponibles dans le document de recherche.