基于符号执行的智能合约漏洞检测方案

被引：15

作者：

赵伟 ^{[1
,2
]}

张问银 ^{[1
]}

王九如 ^{[1
]}

王海峰 ^{[1
]}

武传坤 ^{[1
]}

机构：

[1] 临沂大学信息科学与工程学院

[2] 山东科技大学计算机科学与工程学院

来源：

计算机应用 | 2020年 / 40卷 / 04期

关键词：

区块链; 智能合约; 符号执行; 漏洞分析; 以太坊;

D O I：

暂无

中图分类号：

TP311.13 []; TP309 [安全保密];

学科分类号：

1201 ; 081201 ; 0839 ; 1402 ;

摘要：

随着区块链技术的应用推广,智能合约的数量呈现爆发式增长,而智能合约的漏洞将给用户带来巨大损失。但目前研究侧重于以太坊智能合约的语义分析、符号执行的建模与优化等,没有详细描述利用符号执行技术检测智能合约漏洞流程,以及如何检测智能合约常见漏洞。为此,在分析以太坊智能合约的运行机制和常见漏洞原理的基础上,利用符号执行技术检测智能合约漏洞。首先基于以太坊字节码构建智能合约执行控制流图,再根据智能合约漏洞特点设计相应的约束条件,利用约束求解器生成软件测试用例,检测常见的整型溢出、权限控制、Call注入、重入攻击等智能合约漏洞。实验结果表明,所提检测方案具有良好的检测效果,对Awesome-Buggy-ERC20-Tokens漏洞库中70份含漏洞的智能合约的漏洞检测正确率达85%。

引用

页码：947 / 953

页数：7

共 36 条

[1]

teEther:gnawing at Ethereum to automatically exploit smart contracts. KRUPP J,ROSSOW C. Proceedings of the 27th USENIX Security Symposium . 2018

[2]

teEther:gnawing at Ethereum to automatically exploit smart contracts. KRUPP J,ROSSOW C. Proceedings of the 27th USENIX Security Symposium . 2018

[3]

A semantic framework for the security analysis of ethereum smart contracts. Grishchenko I,Maffei M,Schneidewind C. Proceedings of the 2018 International Conference on Principles of Security and Trust . 2018

[4]

[5] 基于符号执行的二进制代码漏洞发现 [J].