以太坊智能合约安全形式化验证方法研究进展

以太坊智能合约是区块链技术的典型应用和实现.由于智能合约一旦部署就难以修改,智能合约在上链之前的正确性显得至关重要.虽然很多当前工作都对于智能合约漏洞的检测与预防进行了一系列研究,但是对于检查合约属性和范式的形式化验证方法还没有比较全面的总结.首先介绍了智能合约基本的表示和编译方式、常用的编程语言、出现的漏洞类型和常见...     

基于智能合约的以太坊可信存证机制

针对以太坊平台提供的数据管理功能简单且存在低吞吐率和高延迟的问题，提出一种基于智能合约的以太坊可信存证机制。首先针对以太坊平台暴露的数据管理问题提出一个基于智能合约的以太坊可信存证框架，然后通过集中化数据统一处理、认证数据分布式存储以及高效动态取证这几个方面阐述所提机制的框架和实现，最后通过基于智能合约的系统开发表明了该机制的可实现性。实验及分析结果表明，该方法与传统关系数据库存证相比，增加了处理可信性、存储可信性和访问可信性；与区块链存证相比，丰富了数据管理功能、降低了区块存储成本、提高了存证效率。     

基于区块并行的以太坊智能合约高速重放

分析和研究以太坊上的区块、交易、账户和智能合约数据具有巨大价值,但是以太坊数据量大、数据种类多、存储结构各异,当前数据获取方法的获取速度慢而且获取的数据不全,因此充分利用这些数据非常困难。文中提出了基于区块并行的以太坊数据快速导出工具Geth-query,通过分析以太坊内部机制,利用区块世界状态快照消除区块之间的依赖关系,优化本机资源利用效率并行重放区块,实现了快速而全面地提取以太坊链上数据。实验证明,Geth-query提取的数据种类丰富,数据导出速度相比传统方法提升了10倍左右。为了使用方便,文中同时对导出的数据进行存储优化,并在前端页面进行数据展示,从而为分析和研究以太坊提供了数据基础。     

以太坊智能合约的漏洞自动化修复技术研究

以太坊等公链上的智能合约可以实现各种去中心化应用,但频发的安全事件导致用户的财产遭受威胁。智能合约安全问题极大地影响用户对去中心化应用的信任度,且链上信息具有不可篡改的特性,使得智能合约在部署前的安全审计和漏洞修复过程必不可少,但当前的安全研究大多聚焦于智能合约漏洞检测技术。文章首先介绍了智能合约相关背景并比较了其与传统应用程序的差异,提出了包含漏洞识别和补丁生成两大关键步骤的智能合约部署前漏洞自动化修复流程,然后分析并阐述了常见的漏洞类型和漏洞检测技术,深入讨论了基于字节码和源码生成智能合约常见漏洞补丁的研究进展,最后对智能合约漏洞补丁生成技术面临的有效性、成本、可扩展性等性能问题以及漏洞自动修复技术的未来方向进行了展望。     

ContractGuard：面向以太坊区块链智能合约的入侵检测系统

以太坊智能合约本质上是一种在网络上由相互间没有信任关系的节点共同执行的已被双方认证程序。目前,大量的智能合约被用于管理数字资产,使智能合约成为黑客的重要攻击对象。常见的攻击方法是通过利用智能合约的漏洞来实现特定操作的入侵攻击。ContractGuard 是首次提出面向以太坊区块链智能合约的入侵检测系统,它能检测智能合约的潜在攻击行为。ContractGuard 的入侵检测主要依赖检测潜在攻击可能引发的异常控制流来实现。由于智能合约运行在去中心化的环境以及在高度受限的环境中运行,现有的IDS技术或者工具等以外部拦截形式的部署架构不适合于以太坊智能合约。为了解决这些问题,通过设计一个嵌入式的架构,实现了把 ContractGuard 直接嵌入智能合约的执行代码中,作为智能合约的一部分。在运行时刻,ContractGuard通过相应的context-tagged无环路径来实现入侵检测,从而保护智能合约。由于嵌入了额外的代码,ContractGuard一定程度上会增加智能合约的部署开销与运行开销,为了降低这两方面的开销,基于以太坊智能合约的特性对 ContractGuard 进行优化。实验结果显示,可有效地检测 83%的异常行为,其部署开销仅增加了36.14%,运行开销仅增加了28.17%。     

一种基于运行时信息的以太坊智能合约防御技术

智能合约是区块链技术最成功的应用之一,已经被广泛集成到应用程序中,成为应用去中心化的常见实现方案.然而,智能合约由于其独有的金融特性,一直以来饱受安全攻击,各种新的恶意攻击类型层出不穷.现有的研究工作提出了多种有效检测合约漏洞的方法,但在实际应用中都存在着各种局限：仅针对已知的漏洞类型,需要修改合约代码来消除漏洞,链上开销过大.由于智能合约部署到链上后的不可修改性,这些针对特定漏洞类型的检测防御手段无法对原有的合约进行修复,因此很难及时地应对新型的漏洞和攻击.为此,提出了一种基于运行时信息的智能合约可升级防御技术,通过引入运行时的各种信息,为链下对攻击和漏洞的检测提供实时的数据.同时,设计了一套部署在合约上的访问控制机制,基于动态检测的结果,对合约的访问进行限制,从而在不需要修改合约代码的情况下实现动态的防御.由于以太坊本身的机制无法对实时攻击进行识别和拦截,为了减小这一影响,利用竞争(race condition)的机制来增强防御的效果.实验结果分析表明：该防御技术可以有效地检测并防御攻击,对于后续的攻击交易,可以实现100%的拦截成功率,对于首次检测到的实时攻击,利用竞争可以达到97.5%的成功率.     

以太坊智能合约模糊测试技术研究综述

运行在区块链平台之上的智能合约,完成了不同参与者之间协议的达成和自动执行,同时也管理了大量的数字资产,智能合约漏洞的频繁爆出,造成了难以估量的经济损失。模糊测试是一种有效的动态漏洞检测技术,已经被应用于智能合约安全研究。文中分析了现有综述工作对智能合约模糊测试的总结不足的问题,并提出了智能合约模糊测试的基本框架;以目前智能合约安全研究中最广泛的以太坊智能合约为例,介绍了与智能合约紧密相关的账户机制和交易结构,总结了智能合约区别于传统程序的特点;阐述了智能合约的漏洞,并对这些智能合约模糊测试技术覆盖的漏洞进行了比较;进一步地,从单交易和交易序列两个方面对已有智能合约模糊测试技术的输入生成进行了分析;从函数层面、交易层面和交易序列层面对测试输入变异进行了总结;对已有智能合约模糊测试技术的测试预言使用进行了简述;另外,还总结了智能合约模糊测试的技术评价指标。最后,提出了当前智能合约模糊测试技术研究面临的问题,并对未来的研究方向进行了展望。     

基于本体推理的智能合约漏洞检测系统

随着区块链的不断发展,基于以太坊的智能合约越发受到各界的广泛关注,但随之而来的是其面临着更多的安全威胁。针对以太坊智能合约的安全问题,出现了各种漏洞检测方法,如符号执行、形式化验证、深度学习等,但现有的检测方法能检测到的漏洞类型大多不全面,缺乏可解释性。针对这些问题,设计并实现了针对Solidity高级语言层面的基于本体推理的智能合约漏洞检测系统。该系统先把智能合约源码解析为抽象语法树,再进行合约信息抽取,利用抽取到的数据信息构建智能合约漏洞检测本体,并使用推理机进行本体推理。实验选取了其他检测工具与本系统进行对比,并使用这几种工具对100份智能合约样本进行检测。实验结果表明,所提系统的检测效果良好,能检测多种类型的智能合约漏洞,并能给出其漏洞的相关信息。     

基于XGBoost的以太坊交易智能定价模型

以太坊采用交易收费的策略来保证计算资源的合理利用,而由于涉及智能合约的交易消耗计算资源差别较大,引入Gas机制。以太坊用户在发起交易时需自主设置Gas总量和Gas价格,而矿工基于利益最大化的原则,优先选择Gas价格高的交易。Gas价格设置高则打包时间短,反之则时间长。由于交易的价格由交易发起者自主确定,这使得需要打包的交易的Gas价格可能相差较大,因而交易共识时间难以掌握。因此,现有的交易机制并不能平衡交易Gas成本和共识时间之间的冲突。为了解决上述问题,对以太坊交易机制进行了研究,分析影响Gas价格的因子,通过网格搜索算法对极端梯度增强模型（extreme gradient boosting,XGBoost）进行参数优化,构建基于XGBoost的以太坊交易智能定价模型,将该模型用于交易Gas价格预测中。通过搭建节点接入以太坊网络获取交易数据作为实验数据,实验结果表明,ETH＿XGB模型能够帮助用户平均节省约72.5%的交易成本,交易成功率在92%,相较于原机制提高17.1%。     

基于区块链的众筹智能合约设计

众筹是当前热门的一种互联网融资模式，目前的众筹平台存在违规经营、公信力不足、监管不善等诸多问题。智能合约是一种由事件驱动的、具有状态的代码合约和算法合同，随着区块链技术的深入发展而受到广泛关注和研究。基于区块链的智能合约技术具有去中心化、自治化、可观察、可验证、可信息共享等特点，可以有效构建可编程金融，为解决众筹平台的问题提供了新的途径。在区块链和智能合约理论的基础上，搭建了众筹区块链（Crowdfunding Blockchain，CBC），并基于以太坊实验环境开发了众筹合约系统，将传统的众筹合约文本代码化，合约的存储与执行均在区块链上进行，这不仅保证了众筹项目的自治化和可靠性，而且提高了项目可信性和公信力。     

基于FOO投票协议的无收据电子投票方案

安全且实用的电子投票协议是信息安全领域的热点问题之一。引入了盲签名、投票编号、申诉标识等工具,提出了一种新的无收据的电子投票方案,该方案进一步完善了FOO投票协议,可保证选票的匿名性、可验证性和无收据性,并且允许投票者中途弃权。该方案不仅保持了原方案的各种优点,而且增强了系统的安全性和灵活性。因此,与其他类似方案相比较,该方案具有更好的通用性和实用性。     

Electronic Auction Scheme Based on Smart Contract and IPFS

Sealed-bid auctions are a vital transaction tool in the e-commerce field. Traditional centralized auction schemes typically result in severe threats to data integrity,information transparency,and traceability owing to their excessive reliance on third parties,and blockchain-based auction schemes generally suffer from high storage costs and are deficient in functional and architectural design. To solve these problems,this study presents a sealed-bid auction scheme that removes the third-party bas...     

基于Ethereum的房地产供应链系统设计与实现

以太坊区块链技术是当今互联网时代的一项具有创新性、革命性的综合型分布式数据库账本技术,具有去中介化、自治性、数据不可篡改、可追溯、可编程等特点。分析了传统房地产供应链存在的不足,运用新兴的区块链技术,设计了基于以太坊智能合约的房地产供应链系统。给出了该系统的系统模型,包括系统流程和系统架构两部分。具体说明了系统所涉及到的四个功能模块。展示了系统的工作流程,并讨论了区块链+房地产供应链存在的问题。对区块链应用于房地产供应链领域进行总结,旨在为未来更好地将区块链应用于房地产供应链提供参考。     

智能合约安全漏洞检测技术研究综述

智能合约是区块链技术最成功的应用之一,为实现各式各样的区块链现实应用提供了基础,在区块链生态系统中处于至关重要的地位.然而,频发的智能合约安全事件不仅造成了巨大的经济损失,而且破坏了基于区块链的信用体系,智能合约的安全性和可靠性成为国内外研究的新关注点.首先从Solidity代码层、EVM执行层、区块链系统层这3个层面介绍了智能合约常见的漏洞类型和典型案例;继而,从形式化验证法、符号执行法、模糊测试法、中间表示法、深度学习法这5类方法综述了智能合约漏洞检测技术的研究进展,针对现有漏洞检测方法的可检测漏洞类型、准确率、时间消耗等方面进行了详细的对比分析,并讨论了它们的局限性和改进思路;最后,根据对现有研究工作的总结,探讨了智能合约漏洞检测领域面临的挑战,并结合深度学习技术展望了未来的研究方向.     

乐观合同签订协议的模型检测分析

从ECS1协议和PFH协议出发,研究三轮乐观合同签订协议的结构。利用协议动作序列及条件图建立协议模型,分析三轮协议满足有限性的条件。在此基础上,结合模型检测工具SPIN,对满足有限性的协议结构的公平性进行分析、验证,并给出反例,说明三轮协议不可能同时满足有限性和公平性。