-
题名智能合约安全漏洞挖掘技术研究
被引量:45
- 1
-
-
作者
付梦琳
吴礼发
洪征
冯文博
-
机构
中国解放军陆军工程大学指挥控制工程学院
-
出处
《计算机应用》
CSCD
北大核心
2019年第7期1959-1966,共8页
-
基金
国家重点研发计划项目(2017YFB0802900)~~
-
文摘
近年来,以智能合约为代表的第二代区块链平台及应用出现了爆发性的增长,但频发的智能合约漏洞事件严重威胁着区块链生态安全。针对当前主要依靠基于专家经验的代码审计效率低下的问题,提出开发通用的自动化工具来挖掘智能合约漏洞的重要性。首先,调研并分析了智能合约面临的安全威胁问题,总结了代码重入、访问控制、整数溢出等10种出现频率最高的智能合约漏洞类型和攻击方式;其次,讨论了主流的智能合约漏洞的检测手段,并梳理了智能合约漏洞检测的研究现状;然后,通过实验验证了3种现有符号执行工具的检测效果。对于单一漏洞类型,漏报率最高达0.48,误报率最高达0.38。实验结果表明,现有研究涵盖的漏洞类型不完整,误报及漏报多,并且依赖人工复核;最后,针对这些不足展望了未来研究方向,并提出一种符号执行辅助的模糊测试框架,能够缓解模糊测试代码覆盖率不足和符号执行路径爆炸问题,从而提高大中型规模智能合约的漏洞挖掘效率。
-
关键词
区块链安全
智能合约
以太坊
漏洞挖掘
自动化工具
-
Keywords
blockchain security
smart contract
Ethereum
vulnerability mining
automated tool
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
TP393.08
[自动化与计算机技术—计算机应用技术]
-
