10.11772/j.issn.1001-9081.2019010082
智能合约安全漏洞挖掘技术研究
近年来,以智能合约为代表的第二代区块链平台及应用出现了爆发性的增长,但频发的智能合约漏洞事件严重威胁着区块链生态安全.针对当前主要依靠基于专家经验的代码审计效率低下的问题,提出开发通用的自动化工具来挖掘智能合约漏洞的重要性.首先,调研并分析了智能合约面临的安全威胁问题,总结了代码重入、访问控制、整数溢出等10种出现频率最高的智能合约漏洞类型和攻击方式;其次,讨论了主流的智能合约漏洞的检测手段,并梳理了智能合约漏洞检测的研究现状;然后,通过实验验证了3种现有符号执行工具的检测效果.对于单一漏洞类型,漏报率最高达0.48,误报率最高达0.38.实验结果表明,现有研究涵盖的漏洞类型不完整,误报及漏报多,并且依赖人工复核;最后,针对这些不足展望了未来研究方向,并提出一种符号执行辅助的模糊测试框架,能够缓解模糊测试代码覆盖率不足和符号执行路径爆炸问题,从而提高大中型规模智能合约的漏洞挖掘效率.
区块链安全、智能合约、以太坊、漏洞挖掘、自动化工具
39
TR309;TP393.08
国家重点研发计划项目2017YFB0802900
2019-08-09(万方平台首次上网日期,不代表论文的发表时间)
共8页
1959-1966
