智能合约自毁案例探析

随着区块链近年的迅速发展,以太坊由于其开源性及图灵完备的特点,逐渐成为区块链最流行的平台,部署在以太坊上的智能合约数量呈现出一个爆发性的增长。基于此,笔者首先回顾了区块链以及智能合约的发展历程,在其基础上分析了智能合约Self-Destruct(自毁)的原因,最后通过两个案例来说明智能合约自毁背后可能隐藏的恶意攻击。     

智能合约:架构及进展

智能合约是一种无需中介、自我验证、自动执行合约条款的计算机交易协议,近年来随着区块链技术的日益普及而备受关注.区块链上的智能合约具有去中心化、去信任、可编程、不可篡改等特性,可灵活嵌入各种数据和资产,帮助实现安全高效的信息交换、价值转移和资产管理,最终有望深入变革传统商业模式和社会生产关系,为构建可编程资产、系统和社会奠定基础.本文致力于以区块链智能合约为研究对象,对已有的研究成果进行全面梳理和系统概述,提出了智能合约的基础架构模型并以此为研究框架阐述了智能合约的运行机制与基础架构,总结了智能合约的研究挑战与进展,介绍了智能合约的技术优势与典型应用领域,讨论了智能合约的发展趋势,以期为智能合约的后续研究提供参考.     

智能合约漏洞检测工具研究综述

智能合约是区块链平台实现交易的重要组件,为多方交易间信任问题提供了一种有效的解决方案.智能合约不仅管理高价值代币还具有不可更改等特性,导致近年来智能合约多次遭受安全威胁.目前出现了大量关于智能合约安全性的研究,其中智能合约漏洞检测成为主要关注点.文中系统分析了智能合约安全问题,从是否执行合约的角度将漏洞检测工具分为静态检测工具和动态检测工具,并对检测工具进行对比分析,重点分析现有检测工具的漏洞检测能力,介绍了 16种检测技术的原理及优缺点;最后,对如何提高智能合约安全性进行展望,提出了 3个可能提高智能合约安全性的研究方向.     

物联网中基于智能合约的访问控制方法

针对物联网中设备资源受限、连接数量大、动态性强等特点,传统的集中式访问控制技术已不完全适用,如何在物联网环境中实现安全高效的访问控制授权成为亟待解决的关键问题.对此,提出一种基于层级区块链的物联网分布式体系架构(distributed architecture based on hierarchical blockchain for Internet of things, DAHB).在该架构中以基于属性的访问控制(attribute-based access control, ABAC)模型为基础,采用智能合约的方式实现对物联网设备基于属性的域内和跨域的灵活、动态、自动化的访问控制.同时,在属性度量中增加信任值与诚实度动态评估不同域间和设备间的信任关系,保证实体能够履行合约的信用能力和稳定性.理论分析和实验结果表明：该方案比现有方案更有效解决物联网访问控制中存在的轻量级、灵活性、细粒度和安全性问题.     

基于字节码的以太坊智能合约分类方法

近年来,区块链技术已在金融、医疗和政务等领域得到了广泛应用和关注。然而,由于智能合约的不易篡改性和运行环境的特殊性,各类安全问题频繁出现。一方面是合约开发者在编写合约时出现的代码安全问题,另一方面是以太坊出现不少高风险智能合约,普通用户很容易被高风险合约提供的高回报所吸引,但对合约的风险却无从知晓。然而,关于智能合约安全的研究主要集中于代码安全方面,对合约功能识别的研究相对较少。假如能对智能合约功能进行准确分类,将有助于人们更好地理解智能合约的行为,同时保障智能合约生态安全,减少或挽回用户的损失。已有的智能合约分类方法通常依赖于对智能合约开源代码的分析,但以太坊发布的合约仅强制要求部署字节码,且只有极少数合约公布了其开源代码。因此,提出了一种基于字节码的以太坊智能合约分类方法。收集以太坊智能合约字节码和对应类别标签,然后提取操作码频率特征以及控制流图特征;通过实验对特征重要性进行分析,获取适合的图向量维度及最优的分类模型;在交易所、金融、赌博、游戏和高风险5个类别的智能合约多分类任务中进行实验验证,使用XGBoost分类器时的F1值达到0.9138。实验结果表明所提方法能较好地完成以太坊智能合约的分类任务,并且能够应用于现实中的智能合约类别预测。     

智能合约安全漏洞研究综述

智能合约是一种基于区块链平台运行,为缔约的多方提供安全可信赖能力的去中心化应用程序。智能合约在去中心化应用场景中扮演着重要的角色,被广泛地应用于股权众筹、游戏、保险、物联网等多个领域,但同时也面临着严重的安全风险。相比于普通程序而言,智能合约的安全性不仅影响合约参与多方的公平性,还影响合约所管理的庞大数字资产的安全性。因此,对智能合约的安全性及相关安全漏洞开展研究显得尤为重要。本文系统分析了智能合约的特性及其带来的全新安全风险;提出了智能合约安全的三层威胁模型,即来自于高级语言、虚拟机、区块链三个层面的安全威胁;并以世界上最大的智能合约平台——以太坊为例,详细介绍了15类主要漏洞;并总结了智能合约安全研究在漏洞方面的进展和挑战,包括自动漏洞挖掘、自动漏洞利用和安全防御三个方面的研究内容;最后,本文对智能合约未来安全研究进行了展望,提出了两个潜在的发展方向。     

面向智能合约漏洞检测的改进符号执行研究

由于区块链不可窜改的特性,部署到区块链上的智能合约不可更改.为了提高合约的安全性,防止智能合约出现整数溢出、短地址攻击、伪随机等问题,在合约部署之前需对合约进行漏洞检测.针对智能合约的整数溢出漏洞利用符号执行进行分析研究,对现有符号执行方法进行调查发现检测速度较慢,从而提出一种自底向上求解约束的改进符号执行方法,并结合深度优先与广度优先进行路径选择从而提高符号执行的代码覆盖率.实验结果表明,改进符号执行在选取的100份含溢出漏洞的智能合约中检测正确率达84％,平均检测效率提高了20％,在中等规模智能合约中检测效率提升显著,检测结果正确率较高.     

智能合约的合约安全和隐私安全研究综述

区块链作为对等网络中的一种分布式账本技术,集成了密码学、共识机制、智能合约等多种技术,提供一种新型信任体系构建方法.智能合约具有公开透明、实时更新、准确执行等显著特点,在区块链中为信息存储、交易执行和资产管理等功能的实现提供了更安全、高效、可信的方式.但是,智能合约本身仍然存在安全问题,影响了区块链技术的进一步推广使用.所以,近年来围绕智能合约安全问题的相关研究比较多,为了帮助相关人员更好地理解和掌握其中的研究思路,本文采用Mapping Study方法,通过收集2015年以来公开发表的关于智能合约安全问题的各类文献,并进一步通过文献筛查、问题设置、信息提取、结果获取和分析等步骤,总结智能合约安全相关研究的现状和未来发展趋势如下:(1)目前智能合约自身面临的安全问题和挑战主要体现在合约安全和隐私安全两方面(问题和挑战).在调查的45篇文献中,有29篇文献针对合约安全,16篇文献针对隐私安全;(2)智能合约安全保障目前采用的方法主要包括形式化验证、模糊测试、零知识证明、可信执行环境等(保障方法);(3)针对合约安全的研究目前主要集中在合约实现、测试阶段,而针对智能合约设计、部署及运维阶段的研究比较少;针对隐私安全的研究主要集中在合约数据隐私保护,而针对合约代码隐私安全的比较少(覆盖范围);(4)智能合约安全保障研究目前主要从合约实现人员、合约测试人员的角度进行,而从合约维护人员和合约用户角度展开的研究较少(研究角度);(5)未来研究应该围绕智能合约的全生命周期的每个阶段安全问题进一步推进,先验方法和后验方法、定性方法和定量方法、静态方法和动态方法的结合是大势所趋(发展趋势).综上,本文通过调研发现了现有研究的不足,并建议了进一步的研究方向.     

智能合约安全与实施规范研究

自区块链2.0时代以来,以智能合约为代表的第二代区块链平台及应用呈爆发式增长,但随之而来的智能合约安全事件也频繁发生。区块链3.0时代,智能合约因其固有的去信任化、自动性、防篡改、可追溯等技术特性,必将被广泛应用。但是,在此前景之下,智能合约的安全性成为了区块链生态安全的基石。文章创新地提出了智能合约3.0—智慧合约的概念,并基于智能合约基础架构研究了智能合约安全威胁,提出了一套基本的智能合约安全实施规范,旨在为智能合约安全实施提供参考与借鉴。     

智能合约安全漏洞检测研究进展

智能合约是运行在区块链合约层的计算机程序,能够管理区块链上的加密数字货币和数据,实现多样化的业务逻辑,扩展了区块链的应用.由于智能合约中通常涉及大量资产,吸引了大量攻击者试图利用其中的安全漏洞获得经济利益.近年来,随着多起智能合约安全事件的发生(例如TheDAO、Parity安全事件等),针对智能合约的安全漏洞检测技术成为国内外研究热点.提出智能合约安全漏洞检测的研究框架,分别从漏洞发现与识别、漏洞分析与检测、数据集与评价指标这3个方面分析现有检测方法研究进展.首先,梳理安全漏洞信息收集的基本流程,将已知漏洞根据基础特征归纳为13种漏洞类型并提出智能合约安全漏洞分类框架;然后,按照符号执行、模糊测试、机器学习、形式化验证和静态分析5类检测技术对现有研究进行分析,并讨论各类技术的优势及局限性;第三,整理常用的数据集和评价指标;最后,对智能合约安全漏洞检测的未来研究方向提出展望.     

智能合约的形式化验证方法综述

智能合约的引入使得区块链技术蓬勃发展,其安全问题成为了目前一大热点研究课题.智能合约编写语言及其不可篡改特性,可能导致安全漏洞的产生且无法被修复,进而会让使用者面临巨大的经济损失.为了对智能合约漏洞进行分析,越来越多的学者引入了形式化方法,对智能合约的源码和字节码进行安全验证,最大程度地保证智能合约的安全.论文介绍了智...     

基于区块链的智能合约技术与应用研究

以智能合约技术的发展背景以及平台体系作为切入点,结合当前区块链技术以及智能合约的融合应用优势展开分析.智能合约技术不仅稳定性较高,还可以提升信息传输的保密程度,增强系统的运行安全性.智能合约技术不仅局限于基础的数据传输,在多个领域均有应用价值,能够提升金融体系的管控力度,增强医疗建设质量,强化物联网的社会影响力.     

以太坊Solidity智能合约漏洞检测方法综述

以太坊Solidity智能合约基于区块链技术,作为一种旨在以信息化方式传播、验证或执行的计算机协议,为各类分布式应用服务提供了基础.虽然落地还不足6年,但因其安全漏洞事件频繁爆发,且造成了巨大的经济损失,使得其安全性检查方面的研究备受关注.首先基于以太坊相关技术对智能合约的一些特殊机制和运行原理进行介绍,并根据智能合约...     

区块链与智能合约并行方法研究与实现

随着区块链技术的不断成熟,能够提供安全、匿名、不可篡改的交易环境且面向企业的区块链应用越来越多。传统的区块链架构面临着性能低、拓展性不足等问题,无法满足面向企业级应用的高并发、大数据的应用场景需求。为了更好地适应愈加丰富的应用场景,发挥区块链技术的价值,文中研究并提出了一种简化拜占庭容错SBFT(Simple Byzantine Fault Tole-rance)共识算法,以提升共识阶段的效率;提出Task并行智能合约模型,充分利用多核系统的并行效率;改进传统区块链系统架构,体现了轻量、低耦合、智能合约可扩展的特点,方便企业应用的二次开发;在此基础上,研发了ParaChain区块链与智能合约系统。实验验证表明,基于并行化技术ParaChain区块链在TPS性能和可拓展性方面的表现相较于基于传统PBFT共识协议的区块链系统有较大提升。     

智能合约安全综述

区块链为构建社会价值传递和信任机制提供了一种新的技术。区块链的快速发展促进了智能合约与人工智能、大数据、物联网等技术的深入融合,其安全性受到重点关注。近几年,区块链与智能合约安全研究取得了较大进展,基于区块链智能合约,对智能合约的运行机制、链上安全和链外安全的最新相关研究成果进行归类、分析、比较、总结和讨论,并展望了智能合约安全性的研究方向和趋势。     

面向MSVL的智能合约形式化验证

智能合约是运行在区块链上的计算机协议,被广泛应用在各个领域中,但是其安全问题层出不穷,因此在智能合约部署到区块链上之前,需要对其进行安全审计.然而,传统的测试方法无法保证智能合约所需的高可靠性和正确性.说明了如何使用建模、仿真与验证语言(MSVL)和命题投影时序逻辑(PPTL)对智能合约进行建模和验证:首先介绍了MSV...     

基于区块链智能合约的存证与取证方法的设计与实现

近年来,公安工作中会接触到越来越多的电子证据,如果存储于中心化的数据库中,会存在着数据丢失与被篡改的风险。为了保证数据的完整性和有效性,本文提出一种基于区块链智能合约方式的电子证据存证取证方法。通过搭建私链,运用solidity语言编写智能合约,利用加解密获取存取索引,以实现公安机关能够在没有第三方的情况下,完成证据交易的上传与下载。在存取证的过程中验证交易数据是否有效、合法以及完整,完成去中心化,避免了数据丢失与被篡改伪造的风险,解决了存储证据的安全性与可信性的问题。     

智能合约及其在线争端解决机制的构建

引言智能合约(Smart Contract)作为一种增加效率并能解决交易性信任问题的工具开始在社会经济生活的各个领域中广泛应用。但是,一项新技术的兴起不可避免地会带来争端。正如在线争端解决之父伊桑·卡什所言:"技术解决争端的速度永远赶不上技术制造争端的速度。"智能合约的编码和内容理解上会出现分歧,更有甚者智能合约可能被虚假数据操纵等等。     

基于深度神经网络的庞氏骗局合约检测方法

区块链技术的发展吸引了全球投资者的目光.目前,有数以万计的智能合约部署在以太坊上.在给金融、溯源等诸多行业带来颠覆性的创新之余,以太坊上的部分智能合约含有诸如庞氏骗局等欺诈形式,给全球投资者造成了数百万美元的损失.但是,目前针对互联网金融背景下庞氏骗局的定量识别方法较少,针对以太坊上庞氏骗局合约检测的研究较少,且检测精...     

基于形式化方法的智能合约验证研究综述

智能合约是区块链技术应用的一个重要场景,智能合约技术实现了区块链的可编程化,提高了其扩展性,有广阔的应用前景。然而,一系列关于智能合约的安全事件造成了大量经济损失,削弱了人们的信心,安全性问题已经成为制约智能合约进一步发展的关键问题。如果合约设计和代码实现的过程中存在缺陷,可能会造成严重后果。而智能合约发布后无法修改,因此,在智能合约发布前对其正确性做出验证尤为重要。近年来,国内外学者在智能合约的验证领域取得了大量成果,但对这些研究成果的系统分析和总结相对较少。对以太坊的交易过程、gas 机制、存储结构、编写语言做了简要介绍,在此基础上调查归纳了智能合约中常见的8种漏洞类型,解释了漏洞产生的原因,回顾了一些真实发生的安全事件并给出了漏洞示例代码;根据不同的技术手段,如符号执行、模型检测、定理证明等,对智能合约的形式化验证工作做分类介绍,分析了各种方法的优劣,并选取了3个开源的自动化验证工具Mythril、Slither和Oyente,从运行效率、检测漏洞类型以及准确率等方面作出实验评估和对比;研究了目前已有的相关综述文章,总结了这些研究的区别与优势;概述了智能合约的漏洞检测技术中仍存在的关键问题,对智能合约验证工作的现状进行了分析和展望,提出了未来能够进一步研究的方向。