Slitherin : nos propres détecteurs Slither

Salutations, chers lecteurs!

Nous sommes l'équipe pessimistic.io, et ces derniers mois, nous avons activement développé notre propres détecteurs Slither pour aider à la révision du code et au processus d'audit .

Il s'agit simplement d'un article de version qui répète en grande partie ce qui est indiqué dans notre fichier readme ; cependant, cet article servira de début à une série d'articles dans lesquels nous expliquerons le développement, les nouveaux détecteurs et les améliorations !

Ce dépôt contient tout ce dont vous pourriez avoir besoin pour travailler avec eux!

Restez connectés pour plus de nouvelles!

Notre objectif était d'augmenter la sensibilité des détecteurs pour aider nos auditeurs, de sorte qu'ils soient assez simples et non écrits dans le "style original". En conséquence, ils produisent des PF ( Faux positifs ) plus fréquemment que les originaux.

En tant que tels, nos détecteurs sont une sorte d'automatisation des contrôles mis en œuvre dans la liste de contrôle, leur objectif principal est de rechercher les problèmes et d'aider l'auditeur du code.

Veuillez nous faire savoir si vous avez découvert un problème/bogue/vulnérabilité via nos détecteurs Slither personnalisés. Vous pouvez nous contacter en ouvrant un RP/Problème ou directement , selon ce qui vous convient le mieux.

Au fait, voici quelques créneaux vacants au deuxième trimestre de 2023 maintenant, donc si votre projet a besoin d'un audit, n'hésitez pas à écrire à nous, visitez notre page de rapports publics!

Qu'est-ce qu'un Slither ?

En bref, Slither est un cadre de sécurité des contrats basé sur Python proposé pour la première fois dans un papier 2019 de Josselin Feist, Gustavo Grieco et Alex Groce. Le Slither Framework offre une détection automatisée des vulnérabilités et des optimisations, ainsi que des résumés de la base de code pour faciliter la compréhension des développeurs.

Né de Crytic, la division de sécurité blockchain de Trail of Bits, Slither est compatible avec Hardhat et Truffle et prend en charge le code Solidity écrit à partir de la V0.4.

Outre ses excellentes capacités d'analyse, il comprend également un ensemble d'imprimantes qui résument différents aspects du contrat sous une forme digeste. On peut même les utiliser pour construire rapidement un modèle de contrat mental avant de plonger profondément dans le code !

Cependant, plusieurs imprimantes perdent de leur valeur pour des projets plus complexes car leur sortie devient ingérable… Nous avons tendance à penser que les plugins sont en fait l'un des aspects les plus importants pour configurer et faire fonctionner correctement Slither car ils augmentent considérablement les fonctionnalités !

N'oubliez pas non plus que c'est le moyen le plus pratique d'ajouter vos propres détecteurs. Consultez notre récent article sur le Slither, si vous ne l'avez pas déjà fait :

Cet article a également un deuxième objectif : être une systématisation des connaissances pour l'utilisation des outils Slither, dans lequel je m'appuierai sur des auteurs en qui j'ai moi-même confiance en la matière et, bien sûr, sur nos auditeurs pessimistic.io.

Cela dit, voici quelques mentions de Slither dans ce qui suit Documents de recherche :

• Slither : un cadre d'analyse statique pour les contrats intelligents
• Détection des contrats intelligents Ethereum vulnérables via des signatures de vulnérabilité abstraites
• Évaluation des outils d'analyse statique des contrats intelligents à l'aide de l'injection de bogues
• Nous aimerions également vous inviter à visitez notre blog et lire notre article sur le Slither !

Glisser : en profondeur

La liste des ressources que vous verrez par la suite vous aidera à en savoir plus sur Glisser et notre version de détecteurs, Serpentard , et nous pensons que vous les trouverez très utiles :

• Accéder aux données privées dans les contrats intelligents
• Le moyen le plus simple d'exécuter Slither pour votre projet Smart Contract
• Carte d'ensemble de données pour les contrats intelligents audités par Slither
• Slither & Echidna + Remappages
• Analyse statique des contrats intelligents avec les actions Slither et GitHub

Nous avons méticuleusement étudié tout ce qui précède, effectué plusieurs backtests et sommes fiers de présenter nos propres détecteurs !

Ce serait fantastique si vous pouviez mettre en signet, partager, suivre ou bifurquer le référentiel suivant. Toute attention nous aidera à atteindre notre objectif commun de rendre Web3 un peu plus sûr qu'il ne l'était auparavant : nous avons donc besoin de votre soutien !

De notre côté, nous ferons tout ce qui est en notre pouvoir pour que ce projet continue à se développer avec succès tant en termes de code et de technologie que d'interaction communautaire et professionnelle !

Les liens et ressources suivants peuvent vous être utiles dans votre travail ; veuillez les vérifier attentivement :

• Glisser
• Serpentard
• Comment utilisons-nous Slither sur Pessimistic.io
• Glisser expliqué
• Glisser : en profondeur
• Examen de glissement
• Glisser — Python
• Attaques de réentrance sur les contrats intelligents distillées
• Assurez-vous de consultez notre blog aussi!

Si vous avez d'autres questions ou suggestions, veuillez rejoignez notre serveur Discord ou Chat par télégramme ! Nous espérons vous y voir et nous entendons soutenir la communauté et ses initiatives !

Nous espérons sincèrement que vous trouverez notre travail utile et apprécions tout commentaire, alors n'hésitez pas à Contactez-nous !

Également publié ici.