Mythril工作原理是什么

发布时间:2021-12-03 10:44:42 作者:柒染
来源:亿速云 阅读:147

Mythril工作原理是什么,很多新手对此不是很清楚,为了帮助大家解决这个难题,下面小编将为大家详细讲解,有这方面需求的人可以来学习下,希望你能有所收获。

Mythril是一个基于符号执行技术的以太坊智能合约安全工具,其预置的检测模块可以发现合约中存在的一些安全问题,例如整数溢出和重入漏洞。本文的目的是学习理解Mythril的符号执行机制,以便开发自己的Solidity安全分析模块。

用自己熟悉的语言学习以太坊DApp开发:Java | Php | Python | .Net / C# | Golang | Node.JS | Flutter / Dart

Mythril的设计目标之一是让安全分析工具更简单易用。换句话说 就是你不需要是计算机科学领域的博士就可以从符号化分析中获益。

1、符号执行概述

为了说明Mythril的运行机制,我们需要先了解Mythril使用的核心技术 —— 符号执行(Symbolic Execution)。如果你之前已经比较了解符号执行的一般思路,那么本文有助于帮助你梳理相关的概念。

我认为解释符号执行的最简单的方法是真正执行它并画图展示出执行过程中发生的事情。为此,我们将使用下面的solidity函数作为我们分析的目标,让我们看看是否可以使用符号化分析来得出函数的结果为10。

2、具体执行: Concrete Execution

在我们开始符号执行之前,先看看具体执行的结果。我们可以用多个不同的输入来执行函数execute(uint256)。例如对于输入4,将产生如下的执行过程:

Initial state (function entry): 
- currently executing: line 1 
- input = 4 
step1: 
- currently executing: line 2 
- input = 4 
- result = uninitialized 
step2: 
- currently executing: line 3 
- input = 4 
- result = 0 
step3: 
- currently executing: line 6: 
- input = 4 
- result = 0

上述过程的图形化表示如下: Mythril工作原理是什么

我们可以尝试不同的输入,直到找出可以让函数返回10的输入,这种方法被称为模糊测试(Fuzzing)。

3、符号执行:Symbolic Execution

最后我们要符号化执行程序了。这意味着我们不再将具体的输入(例如4)带入程序执行,而是用一个符号来指代具体的输入。将该符号称为x,x可以是任何有效的uint256值。现在让我们再次执行程序。

前两步的执行简单直白,容易理解:

Mythril工作原理是什么

现在开始进入有趣的部分。在第3行输入与10进行比较,但是输入是x,它可以是任何具体的值,因此,x > 10和 x < 10都是可能的。如果这种情况发生,我们可以创建两个新的状态分支,其中一个对应 x > 10,另一个对应x <= 10。我们还需要记录这些约束,这样就可以决定具体的输入将执行哪个路径。

现在让我们将状态图扩展到下一步的执行:

Mythril工作原理是什么

下面是我们通过符号化执行生成的状态。有了这些符号化的状态,我们可以写一个简单的程序来找出什么输入值可以得到输出10。

for state in states:
  # Let's filter all the states that are not return statements
  if state.currently_executing != 6:
    continue
  # We want the result to be 10, let's formulate that as a constraint
  result_constraint = (state.result == 10)
  
  # If it is possible to satisfy both the path constraints (these are the constraints collected on each branch)
  # and the result constraint then there must be an input that makes the function return 10
  if is_possible(result_constraint and state.constraints):
    # Using SMT solving we can get an input that will satisfy all the constraints and make the function return 10
    print(give_satisfying_input(result_constraints and state.constraints))

查看上述代码的执行结果,可以清楚地了解只有状态3和状态5需要考虑。

对于状态3,函数is_possible(result_constraint and state.constraints)将返回false,因为对于该状态我们得到result =0。

现在看一下状态5,我们发现了一些更有趣的东西。让我们看一下这里考虑的两个约束:result == 10 and x > 10 。容易看到第一个约束必须满足,也容易确定 x > 10可以满足,例如对于输入11。我只是手动找了一个值来满足上述约束。再Mythril中,实际上是利用一个SMT(Z3)求解器来找出是否可能满足这些约束条件,而且Z3还可以给出一个可以满足约束条件的具体示例,这让我们可以构建一个实际输入来让函数返回10。

作为函数execute分析的结论,我们可以说:

  1. 输出为10的可能性存在

  2. 可以使用输入11得到输出10

看完上述内容是否对您有帮助呢?如果还想对相关知识有进一步的了解或阅读更多相关文章,请关注亿速云行业资讯频道,感谢您对亿速云的支持。

推荐阅读:
  1. Ajax工作原理是什么
  2. CSS工作原理是什么

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

上一篇:android如何自定义控件

下一篇:tk.Mybatis插入数据获取Id怎么实现

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》