Fujitsu создает технологию обнаружения уязвимостей в технологии блокчейн

Компания Fujitsu объявила о создании технологии, которая в проактивном режиме способна обнаруживать уязвимости в смарт-контрактах, а также в программах, выполняющих транзакции на основе блокчейн-платформ. Новая разработка автоматически определяет подозрительные места в исходном коде смарт-контракта.

Технология блокчейн гарантирует, что данные не будут изменены в процессе передачи. Поэтому она может найти применение не только в сфере финансов, но и в других областях, включая недвижимость и здравоохранение. Блокчейн предлагает особые функции, которые получили название смарт-контракты.. Смарт-контракты автоматически создаются в системе, копируются в разные хранилища и исполняются с помощью распределенных вычислений. Поэтому после исполнения смарт-контракта его нельзя исправить, даже если позже в нем обнаружатся уязвимости.

С помощью Ethereum¹, единой платформы для блокчейн-приложений, смарт-контракты объединяются в 6 категорий. В ходе идентификации начального вызова к исполнению транзакции с помощью непрямых вызов через несколько смарт-контрактов возникали изменения данных о начальном вызове транзакции из-за определенных особенностей платформы Ethereum. Это свойство системы можно использовать для обхода процедуры аутентификации. Предыдущие разработки не позволяли обнаруживать подобного рода риски, т.к. они не могли отследить внутреннюю информацию блокчейн-платформы о транзакции.

Риски при генерации и исполнении смарт-контрактов напрямую связаны с убытками компаний, использующих блокчейн Ethereum. Поэтому специалисты Fujitsu разработали специальные алгоритмы для определения подвергающихся рискам последовательностей транзакций в Ethereum. Для защиты используется технология символьного выполнения². С помощью особых алгоритмов разработка Fujitsu может обнаруживать риски, которые могут быть пропущены при проверке корректности смарт-контрактов всех 6 категорий в ручном режиме, и определять соответствующие места в их исходном коде.

Особенности технологии Fujitsu:

• Обнаружение рисков в смарт-контрактах с помощью технологии символьного выполнения
  Специалисты Fujitsu создали алгоритм, исключающий риск того, что кто-то воспользуется языковыми спецификациями платформы Ethereum для фальсификации происхождения вызова транзакции. Таким образом блокируется возможность ложного виртуального исполнения транзакций при помощи технологии символьного выполнения.
• Технология точного обнаружения уязвимых мест в исходном коде для обнаруженных рисков
  Данная технология с высокой точностью определяет, к какой части исходного кода относится обнаруженная уязвимость смарт-контракта. Она позволяет осуществлять символьное выполнение за счет удаления неиспользуемых команд.

Компании-разработчики установили, что ранее используемые инструменты проверки³ обнаруживают только порядка 67% рисков, тогда как новая технология Fujitsu обнаруживает до 100% (за исключением отдельных случаев). Показатели точности обнаружения уязвимостей достигают 88%, что гарантирует защиту от всех типов уязвимостей и выявление их точного положения в исходном коде.

Новая технология улучшит эффективность разработки новых типов смарт-контрактов. Совместно с технологией обнаружения расположения рисков, она будет способствовать значительному уменьшению объема работ по анализу спецификации, оценке и исправлению кода.

Компания Fujitsu продолжит разработку технологий проверки надежности смарт-контрактов не только на базе платформы Ethereum, но и для проектов Hyperledger Fabric⁴ и Hyperledger, реализуемых некоммерческим консорциумом Linux Foundation.

1. Крупная общедоступная платформа исполнения блокчейн-приложений. (https://www.ethereum.org/)
2. Технология для комплексного изучения работы программы в соответствии с каждой возможной переменной значения.
3. Проверка выполнялась с использованием Oyente, инструмента анализа смарт-контрактов для платформы Ethereum.
4. Пример реализации технологии блокчейн и один из проектов Hyperledger по созданию основы для разработки приложений или решений с модульной архитектурой. Hyperledger Fabric выполняет автоматическую настройку конфигурации различных компонентов и использует технологию контейнерных приложений для размещения смарт-контрактов, получивших название чейнкод. (https://hyperledger.org/projects/fabric)

---

Другие новости Fujitsu:

• 1 марта 2022 г.
  Компания Fujitsu прекращает производство мейнфреймов и Unix-серверов

  Fujitsu прекратит производство и продажу мейнфреймов к 2030 г., а выпуск серверных систем на базе Unix – к концу 2029 г. Клиентам предлагается перейти на новый облачный сервис Fujitsu Uvance. Альтернатива – миграция на платформу IBM z для пользователей мейнфреймов и на Linux-системы для пользователей Unix-серверов

• 16 декабря 2021 г.
  Fujitsu представила флагманские мониторы P2410 WE CAM и P2410 TS CAM

  Мониторы 10-го поколения Fujitsu диагональю 60,5 см разработаны с фокусом на удобство для пользователей и сочетают в себе передовой дизайн и высокую производительность.

• 26 сентября 2021 г.
  Fujitsu: усиливающаяся конкуренция способствует быстрому переходу на технологии автоматизации и устойчивое производство

  Результаты исследования Fujitsu показывают, что производители сталкиваются с высоким и постоянно растущим уровнем конкуренции и ощущают давление со стороны конкурентов, что является движущей силой реализации проектов цифровой трансформации.