面向区块链平台的庞氏骗局模式检测方法

区块链技术的出现给各行各业带来了新的变革,同时也给诈骗提供了新的平台。作为金融诈骗的代表形式——庞氏骗局借助智能合约在二代区块链上给人们制造了巨大的损失,这不仅影响区块链技术的发展,同时也在一定程度上扰乱了正常的社会经济秩序,因此,对借助区块链技术实施庞氏骗局的相关平台进行监管势在必行。该文选取区块链平台以太坊作为研究对象,设计了一种基于智能合约混合特征的庞氏骗局检测算法。首先根据交易主体间的关联特征判断其是否符合庞氏骗局中回报不公平的金字塔交易形式,提取智能合约交易特征;其次根据智能合约的操作代码在庞氏骗局合约和其他合约出现频率设计了一种新的ITF算法,提取区分庞氏骗局智能合约的操作码特征;最后采用Catboost集成学习算法来训练庞氏骗局检测模型,算法强调多个特征之间的联系,并解决检测算法训练过程中梯度偏差以及预测偏移问题。与其他算法相比,该算法在庞氏骗局检测上具有较高的准确率(精确率=0.89、召回率=0.78、F1值=0.82)。     

基于符号执行的智能合约漏洞检测方案

随着区块链技术的应用推广,智能合约的数量呈现爆发式增长,而智能合约的漏洞将给用户带来巨大损失。但目前研究侧重于以太坊智能合约的语义分析、符号执行的建模与优化等,没有详细描述利用符号执行技术检测智能合约漏洞流程,以及如何检测智能合约常见漏洞。为此,在分析以太坊智能合约的运行机制和常见漏洞原理的基础上,利用符号执行技术检测智能合约漏洞。首先基于以太坊字节码构建智能合约执行控制流图,再根据智能合约漏洞特点设计相应的约束条件,利用约束求解器生成软件测试用例,检测常见的整型溢出、权限控制、Call注入、重入攻击等智能合约漏洞。实验结果表明,所提检测方案具有良好的检测效果,对Awesome-Buggy-ERC20-Tokens漏洞库中70份含漏洞的智能合约的漏洞检测正确率达85%。     

基于字节码的以太坊智能合约分类方法

近年来,区块链技术已在金融、医疗和政务等领域得到了广泛应用和关注。然而,由于智能合约的不易篡改性和运行环境的特殊性,各类安全问题频繁出现。一方面是合约开发者在编写合约时出现的代码安全问题,另一方面是以太坊出现不少高风险智能合约,普通用户很容易被高风险合约提供的高回报所吸引,但对合约的风险却无从知晓。然而,关于智能合约安全的研究主要集中于代码安全方面,对合约功能识别的研究相对较少。假如能对智能合约功能进行准确分类,将有助于人们更好地理解智能合约的行为,同时保障智能合约生态安全,减少或挽回用户的损失。已有的智能合约分类方法通常依赖于对智能合约开源代码的分析,但以太坊发布的合约仅强制要求部署字节码,且只有极少数合约公布了其开源代码。因此,提出了一种基于字节码的以太坊智能合约分类方法。收集以太坊智能合约字节码和对应类别标签,然后提取操作码频率特征以及控制流图特征;通过实验对特征重要性进行分析,获取适合的图向量维度及最优的分类模型;在交易所、金融、赌博、游戏和高风险5个类别的智能合约多分类任务中进行实验验证,使用XGBoost分类器时的F1值达到0.9138。实验结果表明所提方法能较好地完成以太坊智能合约的分类任务,并且能够应用于现实中的智能合约类别预测。     

基于交易序列分层变异的EVM模糊测试

以太坊虚拟机是以太坊区块链中关键组成部分, 其缺陷会导致交易的执行结果出现偏差, 给以太坊生态带来严重问题. 现有的以太坊虚拟机缺陷检测工作仅将虚拟机视为独立的智能合约执行工具, 没有完整测试其工作流程, 从而导致缺陷检测存在盲点. 针对上述问题, 提出了一种以太坊虚拟机运行全过程的缺陷检测方法(ETHCOV). ETHCOV首先结合权重策略指导智能合约、合约接口参数输入和交易序列按不同粒度变异, 然后将其与区块状态以及世界状态打包作为测试用例, 最后将测试用例输入到以太坊虚拟机中触发运行并对比检验运行结果, 以此来检测以太坊虚拟机的漏洞缺陷. 基于上述方法实现了一个原型系统, 并以2万多个真实智能合约作为为输入对以太坊虚拟机进行缺陷检测测试. 实验结果表明, 相较于现有工具EVMFuzzer, ETHCOV的测试效率提升了339%, 代码覆盖率提升了125%, 并检测出3组用例的不一致输出. 这些结果表明ETHCOV能有效检测以太坊虚拟机的缺陷.     

ContractGuard：面向以太坊区块链智能合约的入侵检测系统

以太坊智能合约本质上是一种在网络上由相互间没有信任关系的节点共同执行的已被双方认证程序。目前,大量的智能合约被用于管理数字资产,使智能合约成为黑客的重要攻击对象。常见的攻击方法是通过利用智能合约的漏洞来实现特定操作的入侵攻击。ContractGuard 是首次提出面向以太坊区块链智能合约的入侵检测系统,它能检测智能合约的潜在攻击行为。ContractGuard 的入侵检测主要依赖检测潜在攻击可能引发的异常控制流来实现。由于智能合约运行在去中心化的环境以及在高度受限的环境中运行,现有的IDS技术或者工具等以外部拦截形式的部署架构不适合于以太坊智能合约。为了解决这些问题,通过设计一个嵌入式的架构,实现了把 ContractGuard 直接嵌入智能合约的执行代码中,作为智能合约的一部分。在运行时刻,ContractGuard通过相应的context-tagged无环路径来实现入侵检测,从而保护智能合约。由于嵌入了额外的代码,ContractGuard一定程度上会增加智能合约的部署开销与运行开销,为了降低这两方面的开销,基于以太坊智能合约的特性对 ContractGuard 进行优化。实验结果显示,可有效地检测 83%的异常行为,其部署开销仅增加了36.14%,运行开销仅增加了28.17%。     

CADetector:跨家族的各项异性合约蜜罐检测

智能合约是区块链生态环境的根基,以太坊区别于比特币的最显著特性就是支持"智能合约",也正因为这种特性使其可承载DeFi、NFT等上层应用,因此保障智能合约安全至关重要.然而,近年来兴起的智能合约蜜罐(Smart Contract Honeypot,以下简称合约蜜罐)已对以太坊生态环境造成显著污染,其具有的检测延迟大、攻...     

基于本体推理的智能合约漏洞检测系统

随着区块链的不断发展，基于以太坊的智能合约越发受到各界的广泛关注，但随之而来的是其面临着更多的安全威胁。针对以太坊智能合约的安全问题，出现了各种漏洞检测方法，如符号执行、形式化验证、深度学习等，但现有的检测方法能检测到的漏洞类型大多不全面，缺乏可解释性。针对这些问题，设计并实现了针对Solidity高级语言层面的基于本体推理的智能合约漏洞检测系统。该系统先把智能合约源码解析为抽象语法树，再进行合约信息抽取，利用抽取到的数据信息构建智能合约漏洞检测本体，并使用推理机进行本体推理。实验选取了其他检测工具与本系统进行对比，并使用这几种工具对100份智能合约样本进行检测。实验结果表明，所提系统的检测效果良好，能检测多种类型的智能合约漏洞，并能给出其漏洞的相关信息。     

基于正则表达式、程序插桩和代码替换的以太坊智能合约bug检测和修复方法

作为当前最大的支持智能合约的区块链平台,数以百万计的智能合约被部署在以太坊上.由于即使发现包含bug也无法修改已部署的智能合约,因此对于开发人员而言,在部署合约前修复合约中的bug至关重要.当前研究人员已经提出了许多智能合约分析工具,用于检测合约中的bug.这些工具要么使用基于以太坊虚拟机字节码的符号执行来检测bug,要么将源代码转换为中间表示形式后再检测bug.然而,基于符号执行的工具通常无法覆盖合约中的大部分bug;将源代码转换为中间表示形式会对检测速度产生负面影响.此外,现有的工具都只能检测bug,而无法根据检测结果自动修复bug.为了解除以上限制,提出了一种名为SolidityCheck的方法,该方法通过使用正则表达式、程序插桩和语句替换等技术,实现快速检测合约中的bug并自动修复其中某些种类bug的目的.文中进行了 一系列实验来评估SolidityCheck,实验结果表明,与现有方法相比,SolidityCheck在多个指标上显示出了优异的性能.     

以太坊钓鱼诈骗检测技术综述

随着区块链技术的广泛应用,网络钓鱼诈骗成为区块链平台上的一大威胁。由于区块链交易具有不可逆性、匿名性和难以篡改性等特点,网络钓鱼攻击往往具有高度的欺骗性和隐蔽性,给用户和企业带来了巨大损失。其中,以太坊平台因其智能合约功能而备受瞩目,并吸引了众多“加密货币”投资者。然而,这种广泛流行也导致了一些不法分子的涌入,滋生了许多网络犯罪行为。其中,钓鱼诈骗是以太坊平台上主要的诈骗形式之一。针对这种情况,以太坊网络钓鱼检测技术应运而生,研究者在该领域取得了众多成果,但对这些研究成果的系统分析和总结相对较少。深入分析了以太坊上网络钓鱼诈骗的现状,对已有的钓鱼诈骗检测数据集和评价指标进行了全面总结。在此基础上,进一步综述了以太坊钓鱼诈骗检测的方法,包括基于交易信息、基于图嵌入和基于图神经网络的方法。其中,基于交易信息的方法是最为常见的,通过分析交易数据的输入地址、输出地址和数额等信息,来判断交易是否存在异常。基于图嵌入和基于图神经网络的方法则更加注重对整个交易网络的分析,通过构建图结构来分析节点之间的关系,从而更加精准地识别钓鱼攻击。对比分析了各方法的优缺点,说明了各方法的适用范围和局限性。进一步指...     

智能合约自毁案例探析

随着区块链近年的迅速发展,以太坊由于其开源性及图灵完备的特点,逐渐成为区块链最流行的平台,部署在以太坊上的智能合约数量呈现出一个爆发性的增长。基于此,笔者首先回顾了区块链以及智能合约的发展历程,在其基础上分析了智能合约Self-Destruct(自毁)的原因,最后通过两个案例来说明智能合约自毁背后可能隐藏的恶意攻击。     

Landscape estimation of solidity version usage on Ethereum via version identification

The creative introduction of the smart contracts in Ethereum, which are Turing-complete programs, boosted blockchain to the second generation. Meantime, the specifically designed young and fast-evolving programming languages, such as Solidity, become the key factors behind smart contracts being the breeding ground of ubiquitous defects. As many contract defects occur within certain compiler versions, knowing the specific compiler version used to generate the contract's bytecode, facilitates the design of more targeted defect detection approaches, and provides ways to estimate the risks faced of invoking it. To this end, we propose VSmart (compiler Version identification for Smart contract), which takes in the bytecode of the smart contract to be analyzed and outputs the major compiler version used to produce it. The basic idea is to leverage deep neural networks to grasp version-indicative features from contracts' normalized opcode sequences, and train classifiers on a data set consisting of 131,546 smart contracts with ground-truth labels we collected from Etherscan. The performance evaluation conducted shows that VSmart achieves nearly 98% accuracy in identifying major Solidity compiler versions. Further, on the basis of VSmart, we perform an empirical study on the distribution of the Solidity compiler versions on a wild data set consisting of 15,326,672 nontrivial smart contracts actually deployed on the Ethereum blockchain. The landscape estimation results show that the Solidity version distribution is rather imbalanced, with Solidity 0.4 being the most popular one; and the developers' Solidity usage practices conflict with the official's suggestion of always using the latest version, while they tend to gradually switch to newer versions.     

基于数据流传播路径学习的智能合约时间戳漏洞检测

智能合约是一种被大量部署在区块链上的去中心化的应用. 由于其具有经济属性, 智能合约漏洞会造成潜在的巨大经济和财产损失, 并破坏以太坊的稳定生态. 因此, 智能合约的漏洞检测具有十分重要的意义. 当前主流的智能合约漏洞检测方法(诸如Oyente和Securify)采用基于人工设计的启发式算法, 在不同应用场景下的复用性较弱且耗时高, 准确率也不高. 为了提升漏洞检测效果, 针对智能合约的时间戳漏洞, 提出基于数据流传播路径学习的智能合约漏洞检测方法Scruple. 所提方法首先获取时间戳漏洞的潜在的数据传播路径, 然后对其进行裁剪并利用融入图结构的预训练模型对传播路径进行学习, 最后对智能合约是否具有时间戳漏洞进行检测. 相比而言, Scruple具有更强的漏洞捕捉能力和泛化能力, 传播路径学习的针对性强, 避免了对程序整体依赖图学习时造成的层次太深而无法聚焦漏洞的问题. 为了验证Scruple的有效性, 在真实智能合约的数据集上, 开展Scruple方法与13种主流智能合约漏洞检测方法的对比实验. 实验结果表明, Scruple在检测时间戳漏洞上的准确率, 召回率和F1值分别可以达到0.96, 0.90和0.93, 与13种当前主流方法相比, 平均相对提升59%, 46%和57%, 从而大幅提升时间戳漏洞的检测能力.     

面向智能合约链上升级的松耦合模型研究

针对已部署到区块链上的智能合约无法实现升级的问题,结合以太坊技术提出了一种松耦合的新型智能合约模型。该模型将传统的智能合约拆分为接口合约集、逻辑合约集、数据合约集三个子集。以此松耦合智能合约模型为基础,设计了一个客户实名转账获取代币的业务场景,通过部署代币合约、接口合约、逻辑合约和数据合约,实现了基本的实名转账功能。最后通过以太坊平台进行系统测试,分析了实名转账场景的功能性、可升级性及成本花销。结果表明基于该模型设计的智能合约,在实现基本功能的同时,能够允许在上链之后对其合约子集进行升级,且能有效降低升级成本,相比传统的链下升级方案,松耦合模型合约的升级成本降低了32.43%,部署成本仅增加了24.16%。     

基于区块链的公平预付卡管理方案

近年来预付费消费模式倍受商家和消费者的青睐,在娱乐健身、教育培训、商超零售等服务业中得到广泛应用。现有预付卡管理中存在商家欺诈高发、商家违约频发、监管不善等诸多问题,难以保障消费者的权益。当前,基于区块链的智能合约技术具有去中心化、安全性高、可验证等特性,可用来有效管理预付卡,为解决预付卡管理存在的问题提供了新思路。因此提出了一种基于区块链的公平预付卡管理方案,消费者和商家通过与智能合约的交互完成交易,利用智能合约的暂存价值完成预付款的管理。消费者和商家共同确认消费成功后,由智能合约自动结算本次消费费用给商家。当商家存在违约时,消费者可以通过申诉追回已支付的预付款,维护自己的权益,从而保证交易的公平性。基于以太坊实验环境实现了预付卡管理方案,对预付卡发售、消费与退款等功能进行了详细测试。通过实验测试和安全性分析,验证了该方案的有效性和可行性。     

以太坊Solidity智能合约漏洞检测方法综述

以太坊Solidity智能合约基于区块链技术,作为一种旨在以信息化方式传播、验证或执行的计算机协议,为各类分布式应用服务提供了基础.虽然落地还不足6年,但因其安全漏洞事件频繁爆发,且造成了巨大的经济损失,使得其安全性检查方面的研究备受关注.首先基于以太坊相关技术对智能合约的一些特殊机制和运行原理进行介绍,并根据智能合约...     

Characterizing and Detecting Gas-Inefficient Patterns in Smart Contracts

Ethereum blockchain is a new internetware with tens of millions of smart contracts running on it.Different from general programs,smart contracts are decentralized,tamper-resistant and permanently running.Moreover,to avoid resource abuse,Ethereum charges users for deploying and invoking smart contracts according to the size of contract and the operations executed by contracts.It is necessary to optimize smart contracts to save money.However,since developers are not familiar with the operating environment of smart contracts(i.e.,Ethereum virtual machine)or do not pay attention to resource consumption during development,there are many optimization opportunities for smart contracts.To fill this gap,this paper defines six gas-inefficient patterns from more than 25,000 posts and proposes an optimization approach at the source code level to let users know clearly where the contract is optimized.To evaluate the prevalence and economic benefits of gas-inefficient patterns,this paper conducts an empirical study on more than 160,000 real smart contracts.The promising experimental results demonstrate that 52.75%of contracts contain at least one gas-inefficient pattern proposed in this paper.If these patterns are removed from the contract,at least 0.30 can be saved per contract.     

智能合约安全漏洞研究综述

智能合约是一种基于区块链平台运行,为缔约的多方提供安全可信赖能力的去中心化应用程序。智能合约在去中心化应用场景中扮演着重要的角色,被广泛地应用于股权众筹、游戏、保险、物联网等多个领域,但同时也面临着严重的安全风险。相比于普通程序而言,智能合约的安全性不仅影响合约参与多方的公平性,还影响合约所管理的庞大数字资产的安全性。因此,对智能合约的安全性及相关安全漏洞开展研究显得尤为重要。本文系统分析了智能合约的特性及其带来的全新安全风险;提出了智能合约安全的三层威胁模型,即来自于高级语言、虚拟机、区块链三个层面的安全威胁;并以世界上最大的智能合约平台——以太坊为例,详细介绍了15类主要漏洞;并总结了智能合约安全研究在漏洞方面的进展和挑战,包括自动漏洞挖掘、自动漏洞利用和安全防御三个方面的研究内容;最后,本文对智能合约未来安全研究进行了展望,提出了两个潜在的发展方向。