基于多访问控制的智能合约重入攻击防御方法

信息安全研究 ›› 2025, Vol. 11 ›› Issue (4): 333-.

基于多访问控制的智能合约重入攻击防御方法

陈虹1谢金彤1金海波1武聪2马博宇1

1(辽宁工程技术大学软件学院辽宁葫芦岛125105)
2(辽宁工程技术大学科学技术研究院辽宁阜新123032)

出版日期:2025-04-30 发布日期:2025-04-30
通讯作者: 陈虹硕士，副教授.主要研究方向为信息安全和网络安全. chh3188@163.com
作者简介:陈虹硕士，副教授.主要研究方向为信息安全和网络安全. chh3188@163.com 谢金彤硕士研究生.主要研究方向为网络安全和区块链. 925137456@qq.com 金海波博士，副教授.主要研究方向为随机过程、决策理论、复杂系统优化维护、系统可靠性. jinhaibo@Intu.edu.cn 武聪博士，讲师.主要研究方向为电子商务、数据分析与智能决策. fxwucong@163.com 马博宇硕士研究生.主要研究方向为网络安全、密码学. mby145373@163.com

Multiaccess Controls for Defense Against Smart Contract Reentry Attacks

Chen Hong1, Xie Jintong1, Jin Haibo1, Wu Cong2, and Ma Boyu1

1(College of Software, Liaoning Technical University, Huludao, Liaoning 125105)
2(Institute of Science and Technology, Liaoning Technical University, Fuxin, Liaoning 123032)

Online:2025-04-30 Published:2025-04-30

摘要/Abstract

摘要： 为解决智能合约在处理外部合约调用时存在漏洞而导致的重入攻击问题，提出一种基于多访问控制(multiple access controls, MAC)的智能合约重入攻击防御方法.通过采用多访问控制仅允许合约所有者进行调用，并防止函数在执行期间对同一事务重复进入；同时修改状态变量存储安全合约地址并更新合约状态.最后使用形式化验证运行经过防御后的智能合约.以银行存取款交易模型为例验证该方法.实验结果表明，采用该防御方法的智能合约能够有效解决外部合约调用时存在的重入攻击问题.相较于其他主流防御方法具有较高的可行性、有效性、逻辑正确性和易理解性；相较于未进行防御的合约，防御后的智能合约在等效内存使用量上减少了64.51%，同时缩短了运行时间.

关键词: 智能合约, 多访问控制, 重入攻击, 形式化验证, 银行存取款

Abstract: In order to solve the problem of reentry attacks caused by the vulnerability of smart contracts in handling external contract calls, a smart contract reentry attack defense method based on Multiple Access Controls (MAC) is proposed. By using MAC, only the contract owner is allowed to make calls and prevent functions from repeatedly entering the same transaction during execution; at the same time, the state variable is modified to store the secure contract address and update the contract state. Finally, formal verification is used to run the defended smart contract. In this paper, we verifies the method with a bank deposit and withdrawal transaction model. The experimental results show that the smart contract using this defense method can effectively solve the problem of reentry attacks when external contracts are invoked. Compared with other mainstream defense methods, it has higher feasibility, effectiveness, logical correctness and comprehensibility; compared with the undefended contract, the defended smart contract reduces the equivalent memory usage by 64.51%, and the running time is also shortened.

Key words: smart contract, multiple access controls, reentry attacks, formal authentication, bank access

中图分类号:

TP393

陈虹, 谢金彤, 金海波, 武聪, 马博宇, . 基于多访问控制的智能合约重入攻击防御方法[J]. 信息安全研究, 2025, 11(4): 333-.

参考文献

［1］韩璇, 袁勇, 王飞跃. 区块链安全问题: 研究现状与展望［J］. 自动化学报, 2019, 45(1): 206225［2］邱欣欣, 马兆丰, 徐明昆. 以太坊智能合约安全漏洞分析及对策［J］. 信息安全与通信保密, 2019 (2): 4453［3］沈传年. 智能合约安全漏洞研究现状［J］. 信息安全研究, 2023, 9(12): 11661172［4］Zou W Q, Lo D, Kochhar A, et al. Smart contract development: Challenges and opportunities［J］. Proceedings on IEEE Trans on Software Engineering, 2021, 1: 20842106［5］倪远东, 张超, 殷婷婷. 智能合约安全漏洞研究综述［J］. 信息安全学报, 2020, 5(3): 7899［6］Rodler Michael, Li Wenting, Ghassan O, et al. Sereum: Protecting existing smart contracts against reentrancy attacks［EBOL］. 2018 ［20240321］. https:doi.org10.48550arxiv.1812.05934［7］王小兵, 杨潇钰, 舒新峰, 等. 面向MSVL的智能合约形式化验证［J］. 软件学报, 2021, 32(6): 18491866［8］刘方青, 黄翰, 向毅, 等. 基于流形鸽群优化的智能合约重入性漏洞检测方法研究［J］. 中国科学: 技术科学, 2023, 53(11): 19221938［9］Dong Chunyan, Li Yuanhong, Tan Liang. A new approach to prevent reentrant attack in solidity smart contracts［C］ Proc of the 2nd CCF China Blockchain Conference (CBCC 2019). Berlin: Springer, 2020: 83103［10］钱鹏, 刘振广, 何钦铭, 等. 智能合约安全漏洞检测技术研究综述［J］. 软件学报, 2022, 33(8): 30593085［11］张潆藜, 马佳利, 刘子昂, 等. 以太坊Solidity智能合约漏洞检测方法综述［J］. 计算机科学, 2022, 49(3): 5261［12］Prigent A, Cassez F, Dhaussy P, et al. Extending the translation from SDL to promela［C］ Proc of the 9th Int Spin Workshop Grenoble. Berlin: Springer, 2002: 7994［13］陈晋川, 夏华辉, 王璞巍, 等. 基于纳什均衡的智能合约缺陷检测［J］. 计算机学报, 2021, 44(1): 147161［14］Osterland T, Rose T. Model checking smart contracts for ethereum［J］. Proceedings on Pervasive and Mobile Computing, 2020, 63: 101129［15］肖美华, 周浩洋, 朱志亮, 等. 基于模型检测的区块链智能合约公平性形式化验证［J］. 华东交通大学学报, 2021, 38(3): 5260

[1]	檀钟盛, 陈春晖, 杨宏强, 陈学斌, . 基于改进公证人机制的跨链隐私共享研究[J]. 信息安全研究, 2025, 11(2): 146-.
[2]	吴宇, 陈丹伟, . 基于区块链与代理重加密的数据安全共享技术研究[J]. 信息安全研究, 2024, 10(8): 719-.
[3]	檀钟盛, 陈春晖, . 基于非同质化代币的密封投标拍卖方案[J]. 信息安全研究, 2024, 10(8): 738-.
[4]	常雨晴, 贺婉朦, 周璐瑶, 彭振皖, . 基于智能合约和雾计算的医疗数据可追溯加密方案[J]. 信息安全研究, 2024, 10(6): 554-.
[5]	王炯涵, 黄文超, 汪万森, 熊焰, . 一种比特币支付协议的形式化建模验证方法[J]. 信息安全研究, 2024, 10(4): 311-.
[6]	贾昊洲, 徐鹏, 王丹琛, 徐扬, . RFID认证协议安全性模型检测验证方法[J]. 信息安全研究, 2024, 10(11): 1043-.
[7]	沈学利, 李明峰, . 基于混合模型和注意力机制的智能合约重入漏洞检测方法[J]. 信息安全研究, 2024, 10(11): 1056-.
[8]	王雨鑫, 郑东, 韩刚, 马妍, . 基于区块链的车联网多因素跨域认证方案[J]. 信息安全研究, 2024, 10(11): 1074-.
[9]	闫一非, 文斌, 张逢, . 基于图神经网络的智能合约源码漏洞检测[J]. 信息安全研究, 2023, 9(E1): 55-.
[10]	靳军, 蔡维德, 乔亚男, 薄钧戈, 李洁, . 面向小微企业的区块链技术征信新模式探索[J]. 信息安全研究, 2023, 9(8): 814-.
[11]	罗纯, 高绍林, 黄鹤. 数据合规可信流通机制设计[J]. 信息安全研究, 2023, 9(7): 618-.
[12]	张晴晴, 田潇, 田锦, . 基于区块链预言机的车联网可信身份方案研究[J]. 信息安全研究, 2023, 9(2): 120-.
[13]	沈传年, . 智能合约安全漏洞研究现状[J]. 信息安全研究, 2023, 9(12): 1166-.
[14]	吕峥, 邢云龙, 吕延辉. “区块链+ABAC访问控制”解决方案[J]. 信息安全研究, 2022, 8(E1): 139-.
[15]	陆明远, 侯春燕, 王劲松. 基于 Softplus 函数的神经网络的 Reluplex 算法验证研究[J]. 信息安全研究, 2022, 8(9): 917-.