Geri Dön

Ethereum akıllı kontratları için güvenlik denetim metodolojisi

Başlık çevirisi mevcut değil.

PDF İndir

  1. Tez No: 722161
  2. Yazar: TURGAY ARDA USMAN
  3. Danışmanlar: PROF. DR. ALİ AYDIN SELÇUK, DR. ÖĞR. ÜYESİ SÜLEYMAN ÖZARSLAN
  4. Tez Türü: Yüksek Lisans
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2022
  8. Dil: Türkçe
  9. Üniversite: TOBB Ekonomi ve Teknoloji Üniversitesi
  10. Enstitü: Fen Bilimleri Enstitüsü
  11. Ana Bilim Dalı: Bilgisayar Mühendisliği Ana Bilim Dalı
  12. Bilim Dalı: Bilgi Güvenliği Bilim Dalı
  13. Sayfa Sayısı: 92

Özet

Akıllı kontratlar blokzincir teknolojisi altında çalışan, belli amaçları gerçekleştirmek için yazılmış küçük programlardır. Blokzincir teknolojisinin en temel özelliklerinden olan değişmezlik ilkesi akıllı kontratlar için de geçerlidir. Bu da zincire yüklenmiş olan bir kontratın değiştirme ve manipülasyonlara karşı dirençli olduğu anlamına gelir. Bu kontratlarda bulunan mantık hatalarının ve zafiyetli kısımların zincire yüklendikten sonra değiştirilemeyeceği anlamına da gelmektedir. Saldırganlar için bu durum büyük bir kolaylıktır. Bunu önlemek için akıllı kontrat projeleri bloğa yüklenmeden önce üstlerinde güvenlik denetimleri uygulanmaktadır. Ancak kimi zaman bu denetimler de yetersiz kalır ve projeler saldırganların hedefi olur. Bu çalışmada Ethereum ekosisteminde meydana gelmiş olaylardan önemli etkiye sahip olanları incelenerek projelerin denetimlerinde bir eksik varsa bunu tespit etmek ve buna ek olarak ekosisteminde sıkça rastlanan zafiyetleri inceleyerek kapsamlı bir denetim metodolojisi önermek ve bu sayede bahsi geçen olayların bu metodoloji ile denetlenen kontratların başına gelmesinin önlenmesi amaçlanmıştır. Ethereum ekosistemindeki daha önceden denetlenmiş ve önemli saldırıların hedefi olan projelerin denetleme raporları incelendiğinde, büyük çoğunluğunun önüne geçebilmenin mümkün olduğu görülmüştür. Bunun nedeninin ise söz konusu projelerin işletme mantıkları incelenirken gözden kaçan noktalar ve sadece otomatik araçlara güvenen süreçler olduğu gözlemlenmiştir. Buna ek olarak çalışmada incelenen zafiyetlerde etkin zafiyetlerin %60'ının kullanıcı ihmallerinden kaynaklandığı görülmektedir. Bu tarz zafiyetlerin tespiti mantıksal eksikliklere göre daha kolaydır, hem araçlar hem insanlar için. Tüm anlatılanlar göz önüne alındığında bu çalışmada önerilen metodolojinin kabaca manuel analiz ile otomatik araçları bir arada kullanmayı hedeflediğini söylemek makuldür. Manuel analiz yöntemlerini esas olarak kabul eden metodoloji hem statik hem dinamik manuel analiz sırasında dikkat edilmesi gereken noktaları ve bu noktaların nasıl incelenmesi gerektiğini anlatır. Otomatik araçları ise manuel analiz yöntemlerinin eksik kaldığı, uç nokta testleri, gözden kaçan noktalar, hatalı pozitif veya negatiflerin doğrulanması gibi noktalarda kullanır. Bu sayede iki yaklaşımın birbirlerini eksiklerini kapatacak şekilde kullanılması sağlanmış olur ve kapsamlı bir denetim sağlanır.

Özet (Çeviri)

Smart contracts are small programs that work under blockchain technology and are written to achieve certain purposes. The principle of immutability, which is one of the most fundamanetal features of blockchain technology, also applies to smart contracts. This means that a contract deployed to the chain is resistant to modification and manipulation. However, this means that the logic errors and vulnerabilities in the contracts cannot be fixed after they are uploaded to the chain. For attackers, this is a great convenience. To prevent this, security checks are applied to smart contract projects before they are uploaded to the block. However, sometimes these controls are insufficient and projects become the target of attackers. In this study, it is aimed to examine the events that have a significant impact on the Ethereum ecosystem, to detect if there is a deficiency in the audits of the projects, and to suggest a comprehensive audit methodology by examining the frequently encountered vulnerabilities in the ecosystem, and thus to prevent the mentioned events from happening to the contracts audited with this methodology. When the audit reports of the projects in the Ethereum ecosystem that were previously audited and the target of important attacks are examined, it has been seen that it is possible to prevent the vast majority of them. It was observed that the reason for this was the points that were overlooked while examining the business logic in question and the processes that only rely on automated tools. In addition, it is seen that 60% of the active vulnerabilities in the vulnerabilities examined in the study are caused by user negligence. Such vulnerabilities are easier to detect than logical ones, both for vehicles and humans. To sum up, it is reasonable to say that the methodology proposed in this study aims to combine manual analysis with automated tools. The methodology, which accepts manual analysis methods as its basis, explains the points to be considered during both static and dynamic manual analysis and how these points should be examined. It uses automated tools where manual analysis methods are lacking, such as endpoint testing, overlooked points, and verification of false positives or negatives. In this way, it is ensured that the two approaches are used in a way that makes up for each other's deficiencies and a comprehensive audit is provided.

Benzer Tezler

  1. Tez No

    893238

    Blok zinciri ve akıllı kontratların Lng ticaretinde kullanılması

    Use of blockchain and smart contracts in Lng trade

    ABDULLAH ÇETİNKAYA

    Yüksek Lisans

    Türkçe

    Türkçe

    2024

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolAnkara Sosyal Bilimler Üniversitesi

    Denetim ve Risk Yönetimi (Disiplinlerarası) Ana Bilim Dalı

    DOÇ. DR. HAKAN KARABACAK

    DR. FURKAN UYSAL

  2. Tez No

    826726

    Exploring vulnerabilities in verified ethereum smart contracts: sophisticated dataset curation and code transformation for artificial intelligence driven scanners

    Doğrulanmış ethereum akıllı sözleşmelerindeki güvenlik açıklarını keşfetme: Yapay zeka güdümlü tarayıcılar için gelişmiş veri seti kürasyonu ve kod dönüşümü

    EMRE BALCI

    Yüksek Lisans

    İngilizce

    İngilizce

    2023

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolBahçeşehir Üniversitesi

    Bilgisayar Bilimleri Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ ECE GELAL SOYAK

  3. Tez No

    561419

    Ürünlerin tedarikçiden tüketiciye ulaşmasını takip edecek bir blok zinciri sisteminin tasarlanması

    Design a system to monitor the transportation process from supplier to consumer by using blockchain technology

    REYHAN YILMAZ

    Yüksek Lisans

    Türkçe

    Türkçe

    2019

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Üniversitesi

    Enformatik Ana Bilim Dalı

    PROF. DR. SELİM YAZICI

  4. Tez No

    846934

    Blok zincir teknoloji tabanlı aidat ödeme sistemi

    Block chain technology based dues payment system

    TUĞBA AYDIN

    Yüksek Lisans

    Türkçe

    Türkçe

    2024

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolBilecik Şeyh Edebali Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    PROF. DR. CİHAN KARAKUZU

  5. Tez No

    888488

    Istoken : The digital revolution of fractional Ownership & Real estate tokenization model in Türkiye

    Istoken : Türkiye'de parçalı mülkiyetin dijital devrimi ve gayrimenkul tokenizasyon modeli

    GÖKSU SABUNCUOĞLU

    Yüksek Lisans

    İngilizce

    İngilizce

    2024

    Ekonomiİstanbul Teknik Üniversitesi

    Gayrimenkul Geliştirme Ana Bilim Dalı

    DOÇ. DR. KEREM YAVUZ ARSLANLI

Geri Dön