一种以太坊智能合约问题检测和预防方法与装置制造方法及图纸

本发明专利技术提出了一种以太坊智能合约问题检测和预防方法与装置，该方法的输入是用户给定的以太坊智能合约源代码。首先格式化源代码，整理代码的格式。然后根据不同问题的特征确定对应的正则表达式及检测规则，并确定预防重入漏洞和整数溢出漏洞的代码语句构造方法，再使用定义的正则表达式对格式化后的代码进行匹配，通过匹配定位可能存在问题的代码语句。对于整数溢出漏洞和重入漏洞两种智能合约中的严重安全问题，本方法通过正则表达式定位可能存在问题的语句，然后通过程序插桩技术达成预防这两种问题产生的效果。在检测智能合约问题时，本方法可以获得优良的准确率、查全率和检测效率，并且可以覆盖当前绝大部分的智能合约问题种类。

An Ethereum smart contract problem detection and prevention method and device

【技术实现步骤摘要】
一种以太坊智能合约问题检测和预防方法与装置
本专利技术涉及一种代码问题检测和预防方法，尤其涉及一种针对以太坊智能合约的基于正则表达式和程序插桩的问题检测和预防方法，属于区块链安全领域。
技术介绍
以太坊是最大的支持智能合约的区块链，市值超过160亿美元。智能合约是在区块链平台上运行的自主程序。它们通常用几种高级语言开发，然后编译成字节码。一旦将智能合约的字节码部署到区块链，任何人可以调用它的函数，但是不能更改字节码。不幸的是，不可避免的，许多智能合约包含错误，但这些错误不能被修补，因为区块链上数据的不可更改性。因此，拥有能够帮助开发人员在将他们的字节码部署到区块链之前彻底检测智能合约存在的问题的自动化工具是特别重要的。静态代码分析是当前检测以太坊智能合约安全的主流方法，现在已经提出了一些工具来检测智能合约中存在的问题。然而，它们中的大多数只能处理智能合约的字节码。虽然直接分析智能合约字节码能够带来比较优秀的准确率，但检测效率低下，并且不能够覆盖当下绝大部分种类的以太坊智能合约问题。因此，需要一个自动化工具，能够快速地检测以太坊智能合约问题，并且能够覆盖当下绝大部分种类的以太坊智能合约问题，在此基础下，还要拥有不错的准确率。虽然最近Tikhomirov等人提出了一种基于词法分析、语法分析和XPath、处理以太坊智能合约源代码的以太坊智能合约问题检测和预防方法，但他们的方法仍然存在着一些缺陷：他们不能够准确地描述智能合约问题语句的特征；他们无法检测一些对于以太坊智能合约安全有严重威胁的问题，诸如重入漏洞和整数溢出漏洞；他们的方法基于词法分析、语法分析和Xpath，这使得他们方法的检测效率仍然不够出色。
技术实现思路
专利技术目的：考虑区块链上的数据具有不可修改的特性，所以智能合约问题的严重性相较于其他领域严重得多。本专利技术提供了一种基于正则表达式和程序插桩的以太坊智能合约问题检测和预防方法与装置，针对使用Solidity语言开发的以太坊智能合约，使用定义的用于描述不同问题特征的正则表达式、检测规则和预防代码构造方法达到检测和预防问题产生的目的。技术方案：为实现上述专利技术目的，本专利技术采用如下技术方案：一种以太坊智能合约问题检测和预防方法，包括如下步骤：步骤1：获取待检测的以太坊智能合约，并将源代码进行格式化；步骤2：根据不同问题的特征，确定对应的正则表达式及检测规则，以及确定预防重入漏洞和整数溢出漏洞的代码语句的构造方法；步骤3：将格式化后的代码发送到不同的问题检测程序中，问题检测程序根据步骤2定义的正则表达式和检测规则，检测不同种类的智能合约问题；步骤4：对于重入漏洞，将格式化后的代码发送到预防重入漏洞程序中，预防重入漏洞程序根据步骤2定义的正则表达式定位可能引入重入漏洞的代码语句，然后根据合约内容构造欲插入的预防代码，最后将预防代码插入到智能合约中；步骤5：对于整数溢出漏洞，将格式化后的代码发送到预防整数溢出漏洞程序中，预防整数溢出漏洞程序根据步骤2定义的正则表达式定位可能引入整数溢出漏洞的代码语句，然后根据合约内容构造欲插入的预防代码，最后将预防代码插入到智能合约中；步骤6：根据用户的选择的功能，将步骤3-步骤5中至少一个步骤的检测或预防结果输出给用户。作为优选，所述步骤1中作为输入的以太坊智能合约源代码是使用以太坊智能合约编程语言Solidity编写的。作为优选，所述步骤2中智能合约问题的种类包括严格地比较合约存款、未处理的异常、被外部地址拒绝服务、使用tx.origin进行身份验证、缺失构造函数、锁定的钱、不安全的类型推断、使用Byte[]、昂贵的循环、时间戳依赖、不标准的代币接口、使用浮点数、私有可见性、冗余的拒绝支付、编译器版本问题、不标准的编程风格、整数除法、未显式指明地可见性中的至少一种；每种问题至少使用一个正则表达式描述其特征。作为优选，所述步骤3包括如下步骤：步骤31：读取保存着格式化代码的智能合约文件；步骤32：将格式化的代码发送到不同种类的问题检测程序中；步骤33：每个问题检测程序将格式化代码保存为一个字符串数组，逐行遍历，使用为这一个问题定义的正则表达式和检测规则匹配这一行代码；如果匹配成功，则认定这一行代码含有这一种问题；如匹配失败，则认定这一行代码不含有这一种问题；步骤34：根据步骤33中所有的问题检测程序的检测结果，统计问题种类和数量，确定每个问题存在的行数。作为优选，所述步骤4中插入代码预防重入漏洞产生，具体包括：步骤41：读取保存着格式化智能合约源代码的文件；步骤42：将格式化后的代码发送到预防重入漏洞产生程序中；步骤43：预防重入漏洞产生程序将格式化代码保存为一个字符串数组；步骤44：预防重入漏洞产生程序逐行遍历数组，根据步骤2定义的正则表达式和检测规则定位可能引入重入漏洞的代码语句，如果代码中存在这样的语句，则转入步骤45，否则转入步骤5；步骤45：对于每一行可能引入重入漏洞的代码语句，首先，从头开始逐行遍历格式化后的代码，寻找第一个记录着账户地址和地址持有代币数量关系账本变量，获取账本变量的名字；然后，从可能引入重入漏洞的代码语句中获得接收以太币的地址；最后，根据接收以太币的地址和账本变量的名字，构造要插入到合约中的预防代码；步骤46：首先，根据合约中的函数调用关系，构造函数调用链；然后，根据函数调用链，将步骤45中构造的预防代码插入到调用链中的不同位置。作为优选，所述步骤5包括如下步骤：步骤51：读取保存着格式化智能合约源代码的文件；步骤52：将格式化后的代码保存为一个字符串数组；步骤53：逐行遍历字符串数组，使用步骤2定义的正则表达式和检测规则定位整数运算语句，如果匹配，则根据被匹配的整数运算语句构造预防代码，然后将预防代码插入到整数运算语句的前后；如果不匹配，则扫描匹配下一行。作为优选，所述步骤6中根据用户选择的功能，将步骤3生成的检测报告，或者是步骤4生成的预防重入漏洞产生的智能合约，或者是步骤5中生成的预防整数溢出漏洞产生的智能合约，输出给用户。本专利技术所述的一种以太坊智能合约问题检测和预防装置，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述计算机程序被加载至处理器时实现所述的以太坊智能合约问题检测和预防方法。有益效果：本专利技术提供的以太坊智能合约问题检测和预防方法，可适用于使用以太坊智能合约高级编程语言Solidity编写的智能合约。在检测问题部分，通过定义的描述不同问题代码语句特征的正则表达式和检测规则检测智能合约问题；在预防问题部分，通过定义的描述不同问题代码语句特征的正则表达式和检测规则定位可能引入问题的代码语句，然后构造预防代码插入到合约中来达到预防问题产生的目的。与现有技术相比，本专利技术在检测或是预防以太坊智能合约问题时，具有更高的问题覆盖率、更好的检测效率，同时还具有比较优秀的检测准确率。可以使用本专利技术快速检测以太坊智能合约问本文档来自技高网...

【技术保护点】
1.一种以太坊智能合约问题检测和预防方法，其特征在于，包括如下步骤：/n步骤1：获取待检测的以太坊智能合约，并将源代码进行格式化；/n步骤2：根据不同问题的特征，确定对应的正则表达式及检测规则，以及确定预防重入漏洞和整数溢出漏洞的代码语句的构造方法；/n步骤3：将格式化后的代码发送到不同的问题检测程序中，问题检测程序根据步骤2定义的正则表达式和检测规则，检测不同种类的智能合约问题；/n步骤4：对于重入漏洞，将格式化后的代码发送到预防重入漏洞程序中，预防重入漏洞程序根据步骤2定义的正则表达式定位可能引入重入漏洞的代码语句，然后根据合约内容构造欲插入的预防代码，最后将预防代码插入到智能合约中；/n步骤5：对于整数溢出漏洞，将格式化后的代码发送到预防整数溢出漏洞程序中，预防整数溢出漏洞程序根据步骤2定义的正则表达式定位可能引入整数溢出漏洞的代码语句，然后根据合约内容构造欲插入的预防代码，最后将预防代码插入到智能合约中；/n步骤6：根据用户的选择的功能，将步骤3-步骤5中至少一个步骤的检测或预防结果输出给用户。/n

【技术特征摘要】
1.一种以太坊智能合约问题检测和预防方法，其特征在于，包括如下步骤：
步骤1：获取待检测的以太坊智能合约，并将源代码进行格式化；
步骤2：根据不同问题的特征，确定对应的正则表达式及检测规则，以及确定预防重入漏洞和整数溢出漏洞的代码语句的构造方法；
步骤3：将格式化后的代码发送到不同的问题检测程序中，问题检测程序根据步骤2定义的正则表达式和检测规则，检测不同种类的智能合约问题；
步骤4：对于重入漏洞，将格式化后的代码发送到预防重入漏洞程序中，预防重入漏洞程序根据步骤2定义的正则表达式定位可能引入重入漏洞的代码语句，然后根据合约内容构造欲插入的预防代码，最后将预防代码插入到智能合约中；
步骤5：对于整数溢出漏洞，将格式化后的代码发送到预防整数溢出漏洞程序中，预防整数溢出漏洞程序根据步骤2定义的正则表达式定位可能引入整数溢出漏洞的代码语句，然后根据合约内容构造欲插入的预防代码，最后将预防代码插入到智能合约中；
步骤6：根据用户的选择的功能，将步骤3-步骤5中至少一个步骤的检测或预防结果输出给用户。


2.根据权利要求1所述的一种以太坊智能合约问题检测和预防方法，其特征在于，所述步骤1中作为输入的以太坊智能合约源代码是使用以太坊智能合约编程语言Solidity编写的。


3.根据权利要求1所述的一种以太坊智能合约问题检测和预防方法，其特征在于，所述步骤2中智能合约问题的种类包括严格地比较合约存款、未处理的异常、被外部地址拒绝服务、使用tx.origin进行身份验证、缺失构造函数、锁定的钱、不安全的类型推断、使用Byte[]、昂贵的循环、时间戳依赖、不标准的代币接口、使用浮点数、私有可见性、冗余的拒绝支付、编译器版本问题、不标准的编程风格、整数除法、未显式指明地可见性中的至少一种；每种问题至少使用一个正则表达式描述其特征。


4.根据权利要求1所述的一种以太坊智能合约问题检测和预防方法，其特征在于，所述步骤3包括如下步骤：
步骤31：读取保存着格式化代码的智能合约文件；
步骤32：将格式化的代码发送到不同种类的问题检测程序中；
步骤33：每个问题检测程序将格式化代码保存为一个字符串数组，逐行遍历，使用为这一个问题定义的正则表达式和检测规则匹配这一行代码；如果匹配成功，则认定这一行代码含有这一种问题；如匹配失败，则认定这一行代...

【专利技术属性】
技术研发人员：张鹏程，肖锋，于佳男，张勐，吉顺慧，戴启印，曹文南，
申请(专利权)人：河海大学，
类型：发明
国别省市：江苏;32