Vulnerabilidad de desbordamiento de enteros y su protección

El desbordamiento de enteros es una vulnerabilidad común en la programación que puede ocurrir en la mayoría de los lenguajes de programación. Ocurre cuando el resultado de un cálculo excede el rango de representación del tipo de entero. Por ejemplo, el rango de un entero sin signo de 32 bits (uint32) es de 0 a 4,294,967,295. Si se suma 1 a 4,294,967,295, el resultado "desbordará" y se convertirá en 0.

Este desbordamiento puede provocar errores graves en el programa, especialmente al manejar datos financieros. Por ejemplo, si se representan los precios de las acciones con un entero de 32 bits, cuando el precio supera el valor máximo, puede leerse erróneamente como 0, lo que evidentemente causaría un gran caos.

Las sobrecargas de enteros se dividen en dos casos: desbordamiento superior y desbordamiento inferior:

• Desbordamiento: el resultado supera el valor máximo, como uint32 de 0xFFFFFFFF + 1 = 0x00000000
• Subdesbordamiento: el resultado es menor que el valor mínimo, como uint32 de 0x00000000 - 1 = 0xFFFFFFFF

En los contratos inteligentes de blockchain, las vulnerabilidades de desbordamiento de enteros son especialmente peligrosas. En 2018, el token BEC de BeautyChain fue aprovechado por atacantes debido a una vulnerabilidad de desbordamiento de enteros, lo que resultó en el robo de una gran cantidad de tokens.

Para evitar el desbordamiento de enteros, el lenguaje Rust ofrece algunos métodos efectivos:

1. Habilitar la verificación de desbordamiento en modo de liberación:

toml [profile.release] overflow-checks = true panic = 'abort'

2. Utiliza la biblioteca uint para soportar tipos de enteros más grandes, como U256, U512, etc.

3. Utilizar funciones de conversión de tipo para detectar desbordamientos, como:

óxido let amount_u256 = U256::from(u128::MAX) + 1; let amount_u128 = amount_u256.as_u128(); // desencadenará un pánico

4. Utilizar funciones Safe Math como checked_add, checked_sub, etc:

óxido let result = x.checked_sub(y).expect("Ocurrió un subdesbordamiento");

A través de estos métodos, podemos detectar y prevenir eficazmente el desbordamiento de enteros, mejorando la seguridad de los contratos inteligentes. Al redactar contratos que impliquen cálculos de grandes valores, es imprescindible manejar con cuidado las posibles situaciones de desbordamiento.