MARC details
| 000 -LEADER |
|---|
| fixed length control field |
06393nam a2200421 i 4500 |
| 003 - CONTROL NUMBER IDENTIFIER |
|---|
| control field |
TR-AnTOB |
| 005 - DATE AND TIME OF LATEST TRANSACTION |
|---|
| control field |
20230908001000.0 |
| 007 - PHYSICAL DESCRIPTION FIXED FIELD--GENERAL INFORMATION |
|---|
| fixed length control field |
ta |
| 008 - FIXED-LENGTH DATA ELEMENTS--GENERAL INFORMATION |
|---|
| fixed length control field |
171111s2022 xxu e mmmm 00| 0 eng d |
| 035 ## - SYSTEM CONTROL NUMBER |
|---|
| System control number |
(TR-AnTOB)200448322 |
| 040 ## - CATALOGING SOURCE |
|---|
| Original cataloging agency |
TR-AnTOB |
| Language of cataloging |
eng |
| Description conventions |
rda |
| Transcribing agency |
TR-AnTOB |
| 041 0# - LANGUAGE CODE |
|---|
| Language code of text/sound track or separate title |
Türkçe |
| 099 ## - LOCAL FREE-TEXT CALL NUMBER (OCLC) |
|---|
| Classification number |
TEZ TOBB FBE BİL YL’22 USM |
| 100 1# - MAIN ENTRY--PERSONAL NAME |
|---|
| Personal name |
Usman, Turgay Arda |
| Relator term |
author |
| 9 (RLIN) |
136293 |
| 245 10 - TITLE STATEMENT |
|---|
| Title |
Ethereum akıllı kontratları için güvenlik denetim metodolojisi / |
| Statement of responsibility, etc. |
Turgay Arda Usman; thesis advisor Ali Aydın Selçuk. |
| 246 11 - VARYING FORM OF TITLE |
|---|
| Title proper/short title |
Auditing methodology for ethereum smart contracts |
| 264 #1 - PRODUCTION, PUBLICATION, DISTRIBUTION, MANUFACTURE, AND COPYRIGHT NOTICE |
|---|
| Place of production, publication, distribution, manufacture |
Ankara : |
| Name of producer, publisher, distributor, manufacturer |
TOBB ETÜ Fen Bilimleri Enstitüsü, |
| Date of production, publication, distribution, manufacture, or copyright notice |
2022. |
| 300 ## - PHYSICAL DESCRIPTION |
|---|
| Extent |
xx, 75 pages : |
| Other physical details |
illustrations ; |
| Dimensions |
29 cm |
| 336 ## - CONTENT TYPE |
|---|
| Content type term |
text |
| Content type code |
txt |
| Source |
rdacontent |
| 337 ## - MEDIA TYPE |
|---|
| Media type term |
unmediated |
| Media type code |
n |
| Source |
rdamedia |
| 338 ## - CARRIER TYPE |
|---|
| Carrier type term |
volume |
| Carrier type code |
nc |
| Source |
rdacarrier |
| 502 ## - DISSERTATION NOTE |
|---|
| Dissertation note |
Tez (Yüksek Lisans Tezi)--TOBB ETÜ Fen Bilimleri Enstitüsü Şubat 2022 |
| 520 ## - SUMMARY, ETC. |
|---|
| Summary, etc. |
Akıllı kontratlar blokzincir teknolojisi altında çalışan, belli amaçları gerçekleştirmek için yazılmış küçük programlardır. Blokzincir teknolojisinin en temel özelliklerinden olan değişmezlik ilkesi akıllı kontratlar için de geçerlidir. Bu da zincire yüklenmiş olan bir kontratın değiştirme ve manipülasyonlara karşı dirençli olduğu anlamına gelir. Bu kontratlarda bulunan mantık hatalarının ve zafiyetli kısımların zincire yüklendikten sonra değiştirilemeyeceği anlamına da gelmektedir. Saldırganlar için bu durum büyük bir kolaylıktır. Bunu önlemek için akıllı kontrat projeleri bloğa yüklenmeden önce üstlerinde güvenlik denetimleri uygulanmaktadır. Ancak kimi zaman bu denetimler de yetersiz kalır ve projeler saldırganların hedefi olur. Bu çalışmada Ethereum ekosisteminde meydana gelmiş olaylardan önemli etkiye sahip olanları incelenerek projelerin denetimlerinde bir eksik varsa bunu tespit etmek ve buna ek olarak ekosisteminde sıkça rastlanan zafiyetleri inceleyerek kapsamlı bir denetim metodolojisi önermek ve bu sayede bahsi geçen olayların bu metodoloji ile denetlenen kontratların başına gelmesinin önlenmesi amaçlanmıştır. Ethereum ekosistemindeki daha önceden denetlenmiş ve önemli saldırıların hedefi olan projelerin denetleme raporları incelendiğinde, büyük çoğunluğunun önüne geçebilmenin mümkün olduğu görülmüştür. Bunun nedeninin ise söz konusu projelerin işletme mantıkları incelenirken gözden kaçan noktalar ve sadece otomatik araçlara güvenen süreçler olduğu gözlemlenmiştir. Buna ek olarak çalışmada incelenen zafiyetlerde etkin zafiyetlerin %60'ının kullanıcı ihmallerinden kaynaklandığı görülmektedir. Bu tarz zafiyetlerin tespiti mantıksal eksikliklere göre daha kolaydır, hem araçlar hem insanlar için. Tüm anlatılanlar göz önüne alındığında bu çalışmada önerilen metodolojinin kabaca manuel analiz ile otomatik araçları bir arada kullanmayı hedeflediğini söylemek makuldür. Manuel analiz yöntemlerini esas olarak kabul eden metodoloji hem statik hem dinamik manuel analiz sırasında dikkat edilmesi gereken noktaları ve bu noktaların nasıl incelenmesi gerektiğini anlatır. Otomatik araçları ise manuel analiz yöntemlerinin eksik kaldığı, uç nokta testleri, gözden kaçan noktalar, hatalı pozitif veya negatiflerin doğrulanması gibi noktalarda kullanır. Bu sayede iki yaklaşımın birbirlerini eksiklerini kapatacak şekilde kullanılması sağlanmış olur ve kapsamlı bir denetim sağlanır. |
|
|---|
| Summary, etc. |
Smart contracts are small programs that work under blockchain technology and are written to achieve certain purposes. The principle of immutability, which is one of the most fundamanetal features of blockchain technology, also applies to smart contracts. This means that a contract deployed to the chain is resistant to modification and manipulation. However, this means that the logic errors and vulnerabilities in the contracts cannot be fixed after they are uploaded to the chain. For attackers, this is a great convenience. To prevent this, security checks are applied to smart contract projects before they are uploaded to the block. However, sometimes these controls are insufficient and projects become the target of attackers. In this study, it is aimed to examine the events that have a significant impact on the Ethereum ecosystem, to detect if there is a deficiency in the audits of the projects, and to suggest a comprehensive audit methodology by examining the frequently encountered vulnerabilities in the ecosystem, and thus to prevent the mentioned events from happening to the contracts audited with this methodology. When the audit reports of the projects in the Ethereum ecosystem that were previously audited and the target of important attacks are examined, it has been seen that it is possible to prevent the vast majority of them. It was observed that the reason for this was the points that were overlooked while examining the business logic in question and the processes that only rely on automated tools. In addition, it is seen that 60% of the active vulnerabilities in the vulnerabilities examined in the study are caused by user negligence. Such vulnerabilities are easier to detect than logical ones, both for vehicles and humans. To sum up, it is reasonable to say that the methodology proposed in this study aims to combine manual analysis with automated tools. The methodology, which accepts manual analysis methods as its basis, explains the points to be considered during both static and dynamic manual analysis and how these points should be examined. It uses automated tools where manual analysis methods are lacking, such as endpoint testing, overlooked points, and verification of false positives or negatives. In this way, it is ensured that the two approaches are used in a way that makes up for each other's deficiencies and a comprehensive audit is provided. |
| 653 ## - INDEX TERM--UNCONTROLLED |
|---|
| Uncontrolled term |
Blokzincir |
|
|---|
| Uncontrolled term |
Ethereum |
|
|---|
| Uncontrolled term |
Akıllı kontrat |
|
|---|
| Uncontrolled term |
Denetim |
|
|---|
| Uncontrolled term |
Zafiyet |
|
|---|
| Uncontrolled term |
Blockchain |
|
|---|
| Uncontrolled term |
Smart contract |
|
|---|
| Uncontrolled term |
Audit |
|
|---|
| Uncontrolled term |
Vulnerability |
| 700 1# - ADDED ENTRY--PERSONAL NAME |
|---|
| Personal name |
Selçuk, Ali Aydın |
| 9 (RLIN) |
126357 |
| Relator term |
advisor |
| 710 ## - ADDED ENTRY--CORPORATE NAME |
|---|
| Corporate name or jurisdiction name as entry element |
TOBB Ekonomi ve Teknoloji Üniversitesi. |
| Subordinate unit |
Fen Bilimleri Enstitüsü |
| 9 (RLIN) |
77078 |
| 942 ## - ADDED ENTRY ELEMENTS (KOHA) |
|---|
| Koha item type |
Thesis |
| Source of classification or shelving scheme |
Other/Generic Classification Scheme |
