智能合约漏洞检测技术综述

智能合约作为可信的去中心化应用,获得了广泛的关注,但其安全漏洞问题对其可靠性带来了巨大威胁.为此,研究者们利用各种前沿技术(如模糊测试、机器学习、形式化验证等)研究了多种漏洞检测技术,并取得了可观的效果.为了系统性地梳理与分析现有智能合约漏洞检测技术,搜集截至2021年7月关于智能合约漏洞检测的84篇论文,根据它们的核心方法进行分类,从每种技术的实现方法、漏洞类型、实验数据等方面展开分析,同时对比国内外研究现状在这些方面的差异.最后,对现有的智能合约漏洞检测技术进行总结,探讨面临的挑战,并展望了未来的研究方向.

基于混合语义的切片级智能合约重入漏洞检测

针对现有基于深度学习的漏洞检测方法主要集中在源代码的单一表现形式上,无法完全捕获源代码中包含的丰富语义信息和结构信息,以及大多数方法基于函数粒度,检测样本存在大量与漏洞无关的冗余代码导致检测精度下降的问题,聚焦于智能合约最严重的漏洞之一,即重入漏洞,提出一种基于混合语义的切片级智能合约重入漏洞检测方法SCHyVulDect。根据漏洞特征关键字对智能合约进行切片操作,获得合约切片;构建合约切片的代码图,通过图注意力网络(graph attention network,GAT)提取其深层语义信息。并使用双向长短期记忆网络(bidirectional long-short term memory,Bi-LSTM)和注意力机制,提取切片代码的上下文序列特征,将提取的图结构特征和序列特征进行融合,从而进行漏洞检测。实验结果表明,SCHyVulDect检测重入漏洞的精确率、召回率和F1值分别为96.36%、94.45%、91.70%,比现有的基于深度学习的智能合约漏洞检测方法的精确率提高13.03~18.00个百分点,具有较好的检测效果。

基于数据流图和混合网络模型的智能合约漏洞检测

智能合约控制着区块链上巨额资产的流动,因此确保其安全性至关重要。基于此,提出一种基于数据流图和混合深度学习模型的方法,即DFG-HDP,用于检测智能合约的漏洞。该方法首先对智能合约源码进行清洗和变量规范;其次从源码中提取数据流特征,将其与源码结合作为输入;最后将不同的词嵌入模型与不同的深度学习模型结合,对输入进行学习检测。实验结果表明,该方法在智能合约漏洞检测中的F1值高达89.90%,优于之前的漏洞检测方法CBGRU。这一结果证明了该方法的有效性和优越性。

基于学习合约的过程性评价体系的设计与实施

为改变当前评价滞后于教学、评价形式单一、评价内容局限和反馈模糊的现状,要构建起基于学习合约的过程性评价体系。在实施过程中让学生全程参与,并进行多元评价、可见评价,为学生搭建学习支架,这些举措可以让过程性评价从落地到成长,在潜移默化中规范学生的学习行为,使他们逐渐养成良好的学习习惯,让学生感受到被看见,以更大的热情投入学习中。

一种基于函数依赖的跨合约模糊测试方案

随着区块链应用的快速发展和智能合约的广泛使用,由智能合约引发的安全事件急剧增多,导致基于区块链的数字资产产生了巨大损失。目前,虽然部分工具可以检测智能合约安全漏洞,但是它们主要针对单个智能合约进行检测,未考虑跨合约之间的交互依赖关系,因此会产生较多的误报。针对上述智能合约漏洞检测工具在跨合约场景下误报率较高和性能消耗过大的问题,文章提出一种基于函数依赖的跨合约模糊测试方案FIFuzz。该方案提出ContractRank算法进行合约间依赖关系建模,采用函数重要度来表征函数在合约间交互过程中的重要程度,并在后续模糊测试模块中加以利用。模糊测试通过基于函数重要度的交易序列生成策略和基于合约地址映射关系的地址类型数据生成策略来提高检测效率,缩减跨合约漏洞检测的搜索空间。另外,通过合约调用模拟来降低漏洞检测的假阳性率。与相关工具的对比实验表明,FIFuzz的漏洞检测时间相对其他工具缩短了80%,检测到的漏洞数量是其他工具的两倍,检测跨合约漏洞的准确率也明显高于其他工具。实验结果表明,FIFuzz能够有效提升跨合约漏洞的检测准确率,降低误报率,并减小时间开销。

链上、链下协同的智能合约即服务问题

智能合约是区块链上的一种软件服务,具有价值传导、契约性和可信性等特点,当前各区块链系统上的智能合约数量越来越多,应用范围越来越广泛,传统智能合约的局限性也日益增大。隔离沙箱环境执行使智能合约与外界交互困难、资源受限、从而限制了智能合约的使用场景和性能。同时,传统的云服务等链下服务存在中心化风险,缺乏信任机制保障。提出智能合约即服务方案,提供链上合约与链下服务协同的方法,通过链下服务的链上认证,将服务生命周期纳入区块链管理,使之具有合约服务的可信化特点,以支持服务的注册、定制和组合;提出基于交易触发与事件驱动的通信与协同方法,在面对复杂业务场景或高资源需求任务时智能合约可与扩展服务组合构建工作流。经实验验证表明,智能合约即服务可以极大地拓展合约应用场景,通过将合约内执行的高资源耗费任务卸载到计算型扩展服务可提供更高的性能,性能优势与链下加速比正相关,如在执行1200维矩阵乘法运算的任务时,性能可提升64%。

智能合约的治理逻辑:法律性质、风险类型、化解路径

智能合约的核心要素在于自治性,与自动化存在本质区别。对于智能合约的法律性质,不能一概而论,应结合其技术特性展开分析,可将其划分为合同型、执行型和单向型。然而,这三种类型分别存在自动执行、兼容性强、去中心化的特点,极易引发一系列交易与安全风险。从法律制度层面予以回应,应明确代码与法律的界限,基于场景划分“强”与“弱”型智能合约,以纾解自动执行条款引发的强制执行风险;确立事先审查机制,确定事后责任主体,以缓解一般条款引发的交易损失风险;建立“弱中心化”平台,明确监管部门权限,以消解去中心化交易条款的监管缺位风险,从而发挥智能合约的科技附加值,促进我国数字经济安全协调发展。

合约理论的多重境界与现实演绎:粤省个案

通过东进公司的土地承租案例,说明一项不稳定的合约是如何得以存在并延续的。为什么选择了一项不稳定的合约;为什么不改变合约本身,而是选择了维护原有合约的治理方式?东进公司的创新性试验就是:以合约匹配合约、以合约治理合约。文章发现以"边缘合约"维护"核心合约"的两种形式;厘清了要素合约与商品合约的关系;并进一步说明了东进案例对我国农业的组织化创新及其农业现代化的实现机制所具有的宏观含义。

带有现货市场的柔性合约决策与协调能力比较

为解决供应商和制造商柔性合约的最优化决策问题并分析不同合约供应链系统的协调能力,通过设定供应商和制造商两阶段运作的契约模型,分别对远期合约、期权合约和组合合约中供应商和制造商的分散最优决策进行求解,得出不同合约供应链系统利润函数。以集中供应链作为协调的参考基准,用数值方法比较了三类合约的系统利润,发现组合合约的系统利润接近集中决策系统,而单纯的远期合约或期权合约的协调能力远逊于组合合约。

农业减量化的困境及其治理:从要素合约到合约匹配

农业减量化面临的核心难题是化学品质量信息的隐蔽性以及由此衍生出的生产要素市场和农产品市场的双重败德行为与逆向选择问题。鉴于专业化的服务供应商不仅掌握化学品质量甄别的专业化知识,而且其用量信息更具可追溯性,所以,匹配要素合约与服务合约就能够规避信息隐蔽性造成的交易成本与风险。为激励农户行为从自我服务向外包服务转变,并维护所缔结服务合约的稳定性,需要以要素合约和服务合约为核心合约,匹配资本合约与产品合约等边缘合约。资本合约表达的资产专用性约束和产品合约表达的委托-代理双方共生关系,能够生成供应商服务质量和减量绩效改进的内生动力。更为重要的是,核心合约与边缘合约的匹配,可以生成减量化的自我实施机制,为化学品减量从政府主导转向市场主导提供契机。

基于符号执行的智能合约重入漏洞检测

在智能合约安全问题中,利用重入漏洞是最具破坏性的攻击之一。针对目前相关检测工作漏报率和误报率高的问题,提出一种基于符号执行的重入漏洞检测方法。该方法基于静态符号执行技术,在模拟以太坊虚拟机指令执行过程中,通过将可能被外部合约多次调用的公有函数控制流子图连接到被调用合约的控制流图,构建出能够模拟重入攻击的完全控制流图,再结合合约状态一致性检测,实现同函数、跨函数和跨合约等3种不同类型的重入漏洞检测。基于该方法设计的检测工具Lucifer与相关工作Oyente、Securify、DefectChecker、Sailfish在已知标签数据集、漏洞注入数据集、自定义数据集和以太坊智能合约真实数据集上进行对比,实验结果表明,Lucifer在误报率、漏报率和容错性上均分别获得第一或者第二的成绩,部分检测情形准确率达到100%,由综合评价指标可以看出,Lucifer的检测率优于现有检测工具,在对于部分特定重入合约的情形尤其在与互斥锁和函数修饰符有关的重入漏洞的识别中有较好的识别能力,在检测时长上,Lucifer的检测时间较久但也在可控范围,并未出现检测超时。

考虑合约转让的风-水-火中长期交易出清模型

风电出力的不确定性导致执行中长期合约时产生弃风或遭受偏差惩罚,为弥补中长期合约交易灵活性的不足,提升风电的消纳比例,提出一种考虑合约转让的风-水-火中长期交易出清模型。考虑风电出力的不确定性,根据风电出力的概率分布,将其出力品质区间划分为确定部分和不确定部分;风电确定部分参与上层的中长期市场交易,以电力系统总体购电成本最小为目标,建立风电确定部分、火电和水电中长期竞价模型,得到中长期合约交易的合约电量和价格,并将出清结果传递给下层;剩下的风电不确定部分参与下层合约转让交易,利用蒙特卡洛方法将风电不确定部分生成典型场景集,以风电利益最大化为目标,以水电和火电利益诉求为约束,建立风电、水电和火电三方自主协商的合约转让交易模型,从而充分挖掘水电和火电的灵活性调节能力,将原中长期合约中水电和火电承担的电量转移给风电,并将合约转让交易情况反馈给上层,进一步优化上层中长期出清结果。改进的IEEE30节点系统算例结果分析表明:所提出清模型不仅提升了风电在中长期市场的消纳水平,而且降低了二氧化碳等污染物的排放,同时也有效保障了各合约转让交易参与主体的利益,增强了市场主体参与合约转让交易的积极性和主动性。

基于双层孪生神经网络的区块链智能合约分类方法

当前通过深度学习方法进行区块链智能合约分类的方法越来越流行,但基于深度学习的方法往往需要大量的样本标签数据去进行有监督的模型训练,才能达到较高的分类性能。该文针对当前可用智能合约数据集存在数据类别不均衡以及标注数据量过少会导致模型训练困难,分类性能不佳的问题,提出基于双层孪生神经网络的小样本场景下的区块链智能合约分类方法:首先,通过分析智能合约数据特征,构建了可以捕获较长合约数据特征的双层孪生神经网络模型;然后,基于该模型设计了小样本场景下的智能合约训练策略和分类方法。最后,实验结果表明,该文所提方法在小样本场景下的分类性能优于目前最先进的智能合约分类方法,分类准确率达到94.7%,F1值达到94.6%,同时该方法对标签数据的需求更低,仅需同类型其他方法约20%数据量。

基于角色的区块链拍卖合约抽象建模及其时间安全性与公平性验证

为提升拍卖合约时间安全性验证效率及验证公平性,提出基于角色的拍卖合约抽象建模及其验证方法。首先,对合约源代码进行基于账户角色的抽象建模,转换为时间自动机网络模型,并对时间安全性进行形式化描述,用UPPAAL工具验证。其次,提取合约源代码机制,建立智能合约机制模型,同样转换为时间自动机网络模型,并对4种公平性进行形式化描述,再用UPPAAL验证。最后,通过2个经典案例证明了所提方法的可行性和有效性。

创业选择中的正式制度作用差异解析--基于合约履行和产权保护的比较分析

完善的正式制度是激活地区创业活力的重要保障。然而,现有研究往往聚焦于整体制度或单一制度展开分析,忽视了不同制度对创业选择的作用机制差异及其潜在复杂效应,这既造成了现有诸多争论的产生,也极大限制了对创业选择中制度影响力的理解。基于制度解绑观点,文章将合约履行制度和产权保护制度视为国家正式制度的两个关键维度,采用分层线性模型对2010-2015年54个国家的355769个劳动力个体样本的检验结果表明,尽管两种制度的改善均有助于提高个体机会型创业可能性,但内在机制的差异却将导致不同制度在特定情境下表现出明显的效应差异。一方面,合约履行制度将在经济发展水平较低地区、对低人力资本个体的机会型创业决策产生更明显促进作用;另一方面,产权保护制度则将在经济发展水平较高地区、对高人力资本个体的机会型创业决策产生更明显促进作用。特别是,作用机制的差异也将导致两种制度对创业决策的共同作用产生潜在抵消效应。上述结论在采用多种稳健性检验后仍保持一致。文章研究结论揭示了对多元制度进行划分是有价值和必要的,有助于推动领域讨论从整体、单一制度的简单分析向多元制度复杂分析的视角转变,并为地方政府根据具体实践促进创业提供一定启示。

基于区块链智能合约的高校三式记账法初探

基于区块链技术(含智能合约)复式记账法可以被发展成三式记账法,这将对我国高校会计工作产生深远的影响。文章先以报销为例说明高校三式记账法流程,三式记账法下可以实现信息几乎全流程的自动处理;再提出新的会计信息系统模型;接着,以科研费为例探讨高校三式记账法的记录方法,并对比复式记账法和三式记账法的计量特点;然后,探讨三式记账法下可供选择的智能合约描述语言,并在改进SPESC的基础上给出了用它描述智能合约的模板,提出了三式记账法的中介、多方、签收、代理、担保、跨链、多分支链等不同模式;最后,总结了三式记账法对高校会计工作中计量、智能合约、管理职能、业务流程、标准化等的影响,并提出了一些建议。

面向物联网的基于智能合约与CP-ABE的访问控制方案

随着物联网设备数量激增,传统的集中式访问控制方案在面对当前大规模物联网环境时显得力不从心,现有的分布式访问控制方案存在高货币成本和处理访问请求的低吞吐量等问题。针对这些问题提出一种区块链智能合约结合密文策略属性基加密(ciphertext policy attribute based encryption,CP-ABE)实现对物联网资源的访问控制方案。以超级账本(Hyperledger Fabric)为底层网络,对功能令牌执行属性基加密,利用星际文件系统(interplanetary file system,IPFS)保存令牌密文,通过智能合约公开令牌获取地址实现一对多授权。进一步设计合约部署到区块链实现对令牌请求的去中心化权限评估,维护主体在特定资源对象上允许的操作,实现更为细粒度的属性访问控制。仿真实验及性能分析表明,所提方案与现有方案相比能够使数据所有者在更短的时间内完成对大量请求主体的安全访问授权,压力测试表明链码具有较好性能。

基于双注意力机制图神经网络的智能合约漏洞检测方法

随着区块链技术的广泛应用,智能合约的内部逻辑越来越复杂。然而,目前大多数智能合约漏洞检测方法存在假阳性率高、检测准确率低等问题。为此,文章提出一种基于双注意力机制图神经网络的智能合约漏洞检测方法,用于智能合约漏洞检测,旨在提升检测的准确性和效率。文章在图卷积网络的卷积层中引入了多头注意力机制,并在特征传播阶段动态计算邻接节点信息对应的注意力权重。该机制使模型在特征聚合时更加关注与当前节点最相关的邻居节点,从而提升对重要特征的辨识能力。在图池化阶段,采用注意力池化机制选择和聚合节点特征,进一步提升对关键节点的关注度,提高了对漏洞检测影响较大特征的识别能力。文章采用以太坊智能合约漏洞样本数据集(ESC)进行实验,实验结果表明,与其他检测技术相比,文章所提方法在识别复杂智能合约漏洞方面具有更快的检测速度和更高的准确性。

合约安排与小农户增收——对“小农户+合作社”体系中三种典型利益联结模式的考察

既有研究独立探讨了小农户与合作社之间多种利益联结模式的各自增收效果,但对于什么样的利益联结模式能够更好地促进小农户增收尚无定论。为此,本文构建了一个集消费与生产于一体的农户模型以分析合约安排与小农户增收的因果关系,并基于CLES(2020—2022年)数据对三种典型利益联结模式的增收效果展开实证检验和比较研究。研究表明:第一,合约安排与小农户增收存在正向因果关系,增收效果从低到高依次为“租地+雇工”模式、合同农业模式和股份合作模式。这一结论在考虑遗漏变量估计偏误、内生性检验、替换样本等一系列稳健性检验之后依然成立。第二,小农户依托合约安排通过土地转出和劳动时间再配置(“租地+雇工”模式)、产品溢价(合同农业模式),以及提升产业价值份额(股份合作模式)等路径实现有效增收。本文研究有效识别了小农户与合作社合约安排的三种典型利益联结模式的增收差异及其作用机制,为实现小农户和现代农业发展有机衔接提供了倾向性增收模式与实现路径的理论支撑。

基于合约熵判决算法的区块链网络DDoS防御优化

为针对多域协同联合防御分布式拒绝服务(DDoS)更有效发挥区块链网络优势,该文提出智能合约熵检测(SCED)算法。基于Hyperledger Fabric区块链架构,首先,通过智能合约技术构建多域协作机制,建立智能合约协作子算法;然后,针对受害域内非法流量IP生成IP黑名单,并通知所有协作域,协同防御DDoS;其次,在各单域内部署由监测、比对、分类及防御模块组成的熵判决防御子算法,检测处理域内非法流量;最后,结合多域智能合约协作和单域熵判决防御,实现区块链网络中受害域、中间域及攻击域协同防御DDoS。仿真结果表明,对比ChainSecure等算法,SCED算法在精度和效率方面有较好的表现。