智能合约安全漏洞研究现状

摘要/Abstract

摘要： 区块链技术凭借其独有的去中心化、不可篡改、可追溯等特点，为社会发展中的信任问题、存证问题、数据治理问题等提供了全新的解决思路.而智能合约作为区块链的核心支撑技术，通过编写去中心化应用将区块链的应用范围从单一数字货币领域扩展至其他泛金融领域.但随着智能合约在区块链中应用的不断发展，其面临的安全问题也正日益突出，因此对智能合约的安全漏洞问题进行研究尤为重要.首先介绍了整数溢出漏洞、重入攻击漏洞等11种智能合约安全漏洞问题及其防范策略;然后讨论了形式化验证、符号执行、模糊测试、污点分析4种漏洞检测方法及其对应的检测工具;最后在总结现有漏洞检测工作不足的基础上对未来研究方向进行了展望.

关键词: 区块链, 智能合约, 以太坊, 漏洞, 安全

Abstract: With its unique characteristics of decentralization, nontampering, and traceability, blockchain technology provides a new solution to issues such as trust, certificate storage, and data governance in social development. As the core supporting technology of blockchain, smart contract expands the application scope of blockchain from the single digital currency field to other panfinance fields by writing decentralized applications. However, with the continuous development of the application of smart contract in blockchain, its security problems are becoming increasingly prominent. Therefore, it is particularly important to study the security vulnerabilities of smart contract. This paper firstly introduces 11 kinds of smart contract security vulnerabilities such as integer overflow vulnerability, reentrancy attack vulnerability and their prevention strategies, then discusses 4 vulnerability detection methods and corresponding detection tools such as formal verification, symbolic execution, fuzzing testing and taint analysis, and finally looks forward to the future research directions based on summarizing the shortcomings of existing vulnerability detection work.

Key words: blockchain, smart contract, Ethereum, vulnerability, security

中图分类号:

TP309

沈传年, . 智能合约安全漏洞研究现状[J]. 信息安全研究, 2023, 9(12): 1166-.

参考文献

［1］Szabo N. Smart contracts［EBOL］. (19940610)［20230130］. http:www.fon.hum.uva.nlrobCoursesInfor mationInSpeechCDROMLiteratureLOTwinterschool2006szabo.best.vwh.netsmart.contracts.html［2］Wood G. Ethereum: A secure decentralised generalised transaction ledger［JOL］. Ethereum Project Yellow Paper, 2014 ［20230709］. https:cryptodeep.rudocpaper.pdf［3］Zheng Z, Xie S, Dai H, et al. An overview of blockchain technology: Architecture, consensus, and future trends［C］ Proc of the 2017 IEEE Int Congress on Big Data. Piscataway, NJ: IEEE, 2017: 557564［4］郭上铜, 王瑞锦, 张凤荔. 区块链技术原理与应用综述［J］. 计算机科学, 2021, 48(2): 271281［5］钱鹏, 刘振广, 何钦铭, 等. 智能合约安全漏洞检测技术研究综述［J］. 软件学报, 2022, 33(8): 30593085［6］Arias L, Spagnuolo F, Giordano F, et al. OpenZeppelin［EBOL］. ［20230203］. https:http:github.comOpen ZeppelinopenzeppelinSolidity［7］付梦琳, 吴礼发, 洪征, 等. 智能合约安全漏洞挖掘技术研究［J］. 计算机应用, 2019, 39(7): 19591966［8］张潆藜, 马佳利, 刘子昂, 等. 以太坊Solidity智能合约漏洞检测方法综述［J］. 计算机科学, 2022, 49(3): 5261［9］黄凯峰, 张胜利, 金石. 区块链智能合约安全研究［J］. 信息安全研究, 2019, 5(3): 192206［10］韩璇, 袁勇, 王飞跃. 区块链安全问题: 研究现状与展望［J］. 自动化学报, 2019, 45(1): 206225［11］Atzei N, Bartoletti M, Cimoli T. A survey of attacks on ethereum smart contracts (sok)［C］ Proc of Int Conf on Principles of Security and Trust. Berlin: Springer, 2017: 164186［12］郑忠斌, 王朝栋, 蔡佳浩. 智能合约的安全研究现状与检测方法分析综述［J］. 信息安全与通信保密, 2020(7): 93105［13］袁勇, 倪晓春, 曾帅, 等. 区块链共识算法的发展现状与展望［J］. 自动化学报, 2018, 44(11): 20112022［14］倪远东, 张超, 殷婷婷. 智能合约安全漏洞研究综述［J］. 信息安全学报, 2020, 5(3): 7899［15］胡凯, 白晓敏, 高灵超, 等. 智能合约的形式化验证方法［J］. 信息安全研究, 2016, 2(12): 10801089［16］Fey G. Assessing system vulnerability using formal verification techniques［G］ LNCS 7119: Proc of Mathematical and Engineering Methods in Computer Science. Berlin: Springer, 2012: 4756［17］Kalra S, Goel S, Dhawan M, et al. ZEUS:Analyzing safety of smart contracts［C］ Proc of the 25th Annual Network and Distributed System Security Symp. 2018 ［20230709］. https:sukritkalra.github.iodatapaperszeus.pdf［18］Tsankov P, Dan A, DrachslerCohen D, et al. Securify: Practical security analysis of smart contracts［C］ Proc of the 2018 ACM SIGSAC Conf on Computer and Communications Security.New York: ACM, 2018: 6782［19］VaaS. Automated formal verification platform for smart contract［EBOL］. 2019 ［20230709］. https:www.lianantech.com［20］Luu L, Chu D H, Olickel H, et al. Making smart contracts smarter［C］ Proc of the 2016 ACM SIGSAC Conf on Computer and Communications Security. New York: ACM, 2016: 254269［21］Mossberg M, Manzano F, Hennenfent E, et al. Manticore: A userfriendly symbolic execution framework for binaries and smart contracts［C］ Proc of the 34th IEEEACM Int Conf on Automated Software Engineering. Piscataway, NJ: IEEE, 2019: 11861189［22］Mueller B. MythrilReversing and bug hunting framework for the Ethereum blockchain［JOL］.2017［20210831］. https:pypi.orgprojectmythril［23］Nikoli I, Kolluri A, Sergey I, et al. Finding the greedy, prodigal, and suicidal contracts at scale［C］ Proc of the 34th Annual Computer Security Applications Conf. New York:ACM, 2018: 653663［24］Jiang B, Liu Y, Chan W K. Contractfuzzer: Fuzzing smart contracts for vulnerability detection［C］ Proc of the 33rd ACMIEEE Int Conf on Automated Software Engineering. Piscataway, NJ: IEEE, 2018: 259269［25］Liu C, Liu H, Cao Z, et al. Reguard:Finding reentrancy bugs in smart contracts［C］ Proc of the 40th Int Conf on Software Engineering: Companion. New York: ACM, 2018: 6568［26］Gao J, Liu H, Liu C, et al. Easyflow: Keep ethereum away from overflow［C］ Proc of the 41st IEEEACM Int Conf on Software Engineering: Companion. Piscataway, NJ: IEEE, 2019: 2326［27］李朝君, 蒋凡. 符号执行中高语句覆盖率的路径调度［J］. 计算机工程与应用, 2010, 46(14): 6668［28］高凤娟, 王豫, 司徒凌云, 等. 基于深度学习的混合模糊测试方法［J］. 软件学报, 2021, 32(4): 9881005

[1]	熊维, 王海洋, 唐祎飞, 刘伟, . 安全多方计算应用的隐私度量方法[J]. 信息安全研究, 2024, 10(1): 6-.
[2]	郑鉴学, 张道法, 徐松艳, 宋苏鸣, . 基于NTRU密钥协商协议设计[J]. 信息安全研究, 2024, 10(1): 12-.
[3]	王洪义, 沙乐天, . 基于静态分析和模糊测试的路由器漏洞检测方法[J]. 信息安全研究, 2024, 10(1): 40-.
[4]	丁丽媛, . 金融机构ICT供应链信息安全风险分析及应对措施研究[J]. 信息安全研究, 2024, 10(1): 55-.
[5]	卢列文, 路丹舒, 马跃强, . 一种虚实结合的工控安全实训靶场平台设计[J]. 信息安全研究, 2024, 10(1): 75-.
[6]	鲁战利, 孙贤雯, 蔡亮, 王佳颖, . “RPA+移动存储介质”解决政府数据安全跨网交换的方法与实践[J]. 信息安全研究, 2024, 10(1): 81-.
[7]	林奕夫, 陈雪, 许媛媛, 汤晓冬, 唐仁杰, 边珊, . 基于零信任安全模型的电力敏感数据访问控制方法[J]. 信息安全研究, 2024, 10(1): 88-.
[8]	赵慧, . 欧盟网络防御政策研究[J]. 信息安全研究, 2024, 10(1): 94-.
[9]	许玉娜, 周航, 公静, . 2023年我国网络安全产业发展现状分析及展望[J]. 信息安全研究, 2023, 9(E2): 13-.
[10]	吴剑刚, 许芃, . 应用数据安全管控平台实践 [J]. 信息安全研究, 2023, 9(E2): 17-.
[11]	杨波, 邱晓慧, 佟冬, 胡师阳, . 人工智能与隐私计算测评应用实践方案[J]. 信息安全研究, 2023, 9(E2): 25-.
[12]	郑伟, 袁胜, . 基于全程全网的多层级抗DDoS立体防护解决方案 [J]. 信息安全研究, 2023, 9(E2): 29-.
[13]	殷晨磊, . 基于可信计算的火电百万千瓦机组国产DCS系统安全防护方案[J]. 信息安全研究, 2023, 9(E2): 33-.
[14]	张文礼, 彭晓雷, . 银行数据安全解决方案[J]. 信息安全研究, 2023, 9(E2): 37-.
[15]	柳遵梁, 周杰, 杨文根, . 医疗机构临床数据合规共享解决方案[J]. 信息安全研究, 2023, 9(E2): 41-.