Ao desenvolver um contrato inteligente Solidity, os desenvolvedores devem definir a visibilidade das variáveis de estado para controlar quem pode obtê-las ou defini-las.

Definir explicitamente a visibilidade das variáveis de estado facilita a detecção de suposições incorretas sobre quem pode acessar a variável.

Exemplo 1: O código a seguir falha ao definir um nível explícito de visibilidade para uma variável.

bytes16 data = "data";

Ao usar versões do compilador Solidity anteriores à versão 0.5.0, os desenvolvedores podem definir um construtor criando uma função com o mesmo nome do contrato que o contém. Os construtores em geral são reservados para funcionalidades confidenciais e devem ser executados apenas na criação do contrato. Se o construtor tiver um erro de digitação que faça com que o nome não corresponda ao nome do contrato, a funcionalidade confidencial no construtor será exposta.

Exemplo 1: O código a seguir usa uma versão do compilador Solidity anterior à 0.5.0 e tenta declarar um construtor com um nome que não corresponde exatamente ao nome do contrato. Nesse exemplo, as maiúsculas e as minúsculas do nome do contrato e do nome do construtor não são correspondentes (Missing vs missing).

pragma solidity 0.4.20;

contract Missing {
    address private owner;
    function missing() public {
        owner = msg.sender;
    }
}

Ao criar um contrato inteligente Solidity, os desenvolvedores podem especificar a versão do compilador a ser usada para esclarecer em qual versão ele foi testado e evitar problemas decorrentes do uso de uma versão diferente do compilador. No entanto, muitas vulnerabilidades relacionadas ao compilador foram divulgadas publicamente ao longo dos anos e novas versões corrigidas do compilador foram criadas para resolver esses problemas.

Os desenvolvedores podem especificar uma gama de versões compatíveis do compilador Solidity para usar ao criar um contrato inteligente. Isso não é recomendado porque o contrato geralmente é desenvolvido e testado em apenas uma das versões possíveis. Isso deixa em aberto a possibilidade de compilá-lo usando uma versão desatualizada do compilador que tenha vulnerabilidades de segurança conhecidas.

Exemplo 1: A linha de código a seguir define pragma para que o contrato inteligente não seja compilado em versões anteriores à 0.4.5 e também não funcione em compiladores da versão 0.5.0 e posteriores.

pragma solidity ^0.4.5;

Quando um caractere sem sinal convertido em inteiro é atribuído a um caractere com sinal, seu valor pode ser indistinguível de EOF.

Exemplo 1: O código a seguir lê um caractere e o compara com EOF.

char c;

while ( (c = getchar()) != '\n' && c != EOF ) {
  ...
}

Nesse caso, o valor de retorno de getchar() é convertido em char e comparado com EOF (um int). Supondo que c seja um valor de 8 bits com sinal e EOF seja um valor de 32 bits com sinal, se getchar() retornar um caractere representado por 0xFF, o valor de c será o sinal estendido para 0xFFFFFFFF em comparação com EOF. Como EOF é normalmente definido como -1 (0xFFFFFFFF), o loop terminará erroneamente.

É perigoso depender de conversões implícitas entre números com e sem sinal, pois o resultado pode assumir um valor inesperado e violar suposições fracas feitas em outra parte do programa.

Exemplo 1: Neste exemplo, a variável amount pode conter um valor negativo ao ser retornada. Como a função é declarada para retornar um inteiro sem sinal, amount será implicitamente convertido em um valor sem sinal.

unsigned int readdata () {
	int amount = 0;
    ...
	if (result == ERROR)
		amount = -1;
	...
	return amount;
}

Se a condição de erro no Example 1 for atendida, o valor de retorno de readdata() será 4.294.967.295 em um sistema que usa inteiros de 32 bits.

A conversão entre valores com e sem sinal pode levar a uma variedade de erros, mas, sob o ponto de vista da segurança, está mais comumente associada a vulnerabilidades de estouro de inteiros e de buffer overflow.

É perigoso depender de conversões implícitas entre números com e sem sinal, pois o resultado pode assumir um valor inesperado e violar suposições fracas feitas em outra parte do programa.

Exemplo 1: Neste exemplo, dependendo do valor de retorno de accecssmainframe(), a variável amount pode conter um valor negativo ao ser retornada. Como a função é declarada para retornar um valor sem sinal, amount será implicitamente convertido em um número sem sinal.

unsigned int readdata () {
	int amount = 0;
    ...
    amount = accessmainframe();
    ...
	return amount;
}

Se o valor de retorno de accessmainframe() for -1, o valor de retorno de readdata() será 4.294.967.295 em um sistema que usa inteiros de 32 bits.

A conversão entre valores com e sem sinal pode levar a uma variedade de erros, mas, sob o ponto de vista da segurança, está mais comumente associada a vulnerabilidades de estouro de inteiros e de buffer overflow.