【技术实现步骤摘要】
一种智能合约安全漏洞检测方法和系统
[0001]本专利技术涉及网络安全
,具体为一种智能合约安全漏洞检测方法和系统。
技术介绍
[0002]以太坊是一种广泛持有的加密货币,均基于区块链技术实现去中心化。以太坊内置图灵完备的编程语言,允许创建任意的应用程序,这些程序被称为智能合约。以太坊的图灵完备性使智能合约的应用场景逐渐丰富,在金融领域,智能合约控制数字资产,使智能合约的安全性不可避免地成为人们重点关注的对象。此外,智能合约永久地部署在区块链上,并且一旦部署便不可更改,再加上编写智能合约语言的不稳定性以及合约自身功能逻辑的复杂性,因此不可避免的存在软件漏洞。
[0003]智能合约漏洞一旦被利用,就可能造成巨大的经济损失。为防止今后发生攻击事件,越来越多的研究人员参与到优化和检测智能合约的研究中,开发了各种工具和框架检测智能合约漏洞。现有技术中,使用基于符号执行技术设计了第一个检测智能合约漏洞的工具——Oyente,能够很好地发现合约中的漏洞,但是该技术存在路径爆炸的问题,并且不易扩展,漏报率较高;基于逻辑驱动的...
【技术保护点】
【技术特征摘要】
1.一种智能合约安全漏洞检测方法,其特征在于,包括如下操作:S1:将智能合约字节码经过反编译处理,得到三地址码形式的中间语言,将所述中间语言分割成若干基本块,根据跳转指令解析若干基本块之间的跳转关系,基于所述跳转关系,创建每个基本块的前继列表和后继列表,将每个基本块连接起来,得到控制流图;S2:提取所述控制流图中的合约信息,将所述合约信息以逻辑关系形式进行存储,获得Datalog事实;S3:基于所述Datalog事实,定义前提条件,获得Datalog规则,所述Datalog规则结合漏洞检测逻辑,分析智能合约,检测智能合约安全漏洞。2.根据权利要求1所述的智能合约安全漏洞检测方法,其特征在于,所述反编译的操作具体为:将所述智能合约字节码转换成对应的EVM指令,基于所述EVM指令,生成三地址码指令,将所述三地址码指令添加到三地址码序列中,经过堆栈处理,得到所述三地址码形式的中间语言。3.根据权利要求1所述的智能合约安全漏洞检测方法,其特征在于,所述S3中定义前提条件包括定义指令条件和变量条件;所述指令条件包括:指令的功能条件、指令执行顺序条件、指令间相互控制条件,指令执行的变量条件、指令检查条件,指令更改合约条件;所述变量条件包括:变量的取值条件、变量之间的相互关系、变量可被外部操控的条件。4.根据权利要求1所述的智能合约安全漏洞检测方法,其特征在于,所述S3中的漏洞检测逻辑为:所述智能合约中存在不受gas限制的用于传输虚拟货币的CALL指令的外部调用,所述外部调用之前没有使用布尔锁进行保护,也没有更新存储变量;所述漏洞检测逻辑结合所述Datalog规则,分析所述智能合约,检测所述智能合约中的重入漏洞。5.根据权利要求1所述的智能合约安全漏洞检测方法,其特征在于,所述S3中的漏洞检测逻辑为:所述智能合约中存在用于传输虚拟货币的CALL指令的外部调用,所述外部调用的结果能被JUMPI指令检查,且所述智能合约的状态变量的更新依赖所述外部调用的结果;所述漏洞检测逻辑结合所述Datalog规则,分析所述智能合约,检测所述智能合约中的拒绝服务漏洞。6.根据权利要求1所述的智能合约安全漏洞检测方法,其特征在于,所述S3中的漏...
【专利技术属性】
技术研发人员:赵相福,陈海悦,刘兆伟,赵金东,王奕辰,何龙,甄子贤,
申请(专利权)人:烟台大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。