123,123

智能合约安全问题与研究现状

信息技术与网络安全

赵辉1，李星1，谭嘉诚1，盖珂珂2

(1.河南大学软件学院，河南开封475000；2.北京理工大学网络空间安全学院，北京100081)

摘要： 智能合约是运行在区块链上的程序，具有去中心化、不可篡改的特性，被广泛应用于金融、能源、物联网等多个领域。然而智能合约一旦实际部署到实时网络上就不能对其更改，在保证合约安全的同时，缺陷和错误也不能通过修改合约代码得以解决，从而导致重大的安全事故。因此合约实际部署前对其进行安全测试已经成为迫切需要解决的问题。介绍了因智能合约漏洞引起的安全事件，对常见的合约漏洞进行详细分析，完成对已有合约分析工具的总结，体现了合约安全问题的研究发展现状。

關(guān)鍵詞： 智能合约漏洞分析区块链安全分析工具

中圖分類號(hào)： TP301
文獻(xiàn)標(biāo)識(shí)碼： A
DOI： 10.19358/j.issn.2096-5133.2021.05.001
引用格式：趙輝，李星，譚嘉誠(chéng)，等。智能合約安全問題與研究現(xiàn)狀[J].信息技術(shù)與網(wǎng)絡(luò)安全，2021，40（5）：1-6，19.

Research status of smart contract security

Zhao Hui1，Li Xing1，Tan Jiacheng1，Gai Keke2

（1.Software College，Henan University，Kaifeng 475000，China；　　2.School of Cyberspace Science and Technology，Beijing Institute of Technology，Beijing 100081，China）

Abstract： Smart contract is a program running on the blockchain, which is decentralized and tamperable. It is widely used in finance, energy, Internet of Things and other fields. However, once the smart contract is actually deployed on the real-time network, it can not be changed. While ensuring the security of the contract, defects and errors can not be solved by modifying the contract code, resulting in major security incidents. Therefore, it has become an urgent problem to test the security of the contract before the actual deployment. This paper introduces the security incidents caused by smart contract vulnerabilities, analyzes the common contract vulnerabilities in detail, and summarizes the existing contract analysis tools, which reflects the research and development status of contract security issues.

Key words : smart contract；vulnerability analysis；block chain；security analysis tool

0 引言

　　智能合約的概念最早由美國(guó)著名計(jì)算機(jī)學(xué)科學(xué)家SZABO N[1]提出，由于當(dāng)時(shí)技術(shù)發(fā)展和缺乏可信執(zhí)行環(huán)境等原因，智能合約并沒有得到良好的應(yīng)用。直到一個(gè)化名為中本聰?shù)膶W(xué)者提出了比特幣的概念[2]，其底層技術(shù)區(qū)塊鏈的興起重塑了智能合約，解決了之前技術(shù)不成熟和應(yīng)用場(chǎng)景缺失等問題。

　　區(qū)塊鏈具有去中心化、不可篡改等特性，為智能合約提供了一個(gè)解決信任問題的機(jī)制。相較于傳統(tǒng)的金融合同，智能合約有很多的優(yōu)點(diǎn)，智能合約執(zhí)行的過程不需要可信的第三方的參與，一旦滿足合約中的條件，相應(yīng)的條款將會(huì)被強(qiáng)制自動(dòng)地執(zhí)行。智能合約降低了信任成本，并且將用戶使用合約的門檻降低。基于智能合約的區(qū)塊鏈技術(shù)廣泛應(yīng)用于金融[3]、能源[4]和物聯(lián)網(wǎng)[5]等領(lǐng)域。

　　隨著智能合約的迅速發(fā)展，智能合約復(fù)雜性不斷增加，面臨著許多不可忽視的安全問題，頻發(fā)的合約攻擊事件表明，智能合約的安全問題十分嚴(yán)重，智能合約漏洞的研究受到了廣泛的關(guān)注。

本文詳細(xì)內(nèi)容請(qǐng)下載：http://m.ihrv.cn/resource/share/2000003543

作者信息：

趙輝1，李星1，譚嘉誠(chéng)1，蓋珂珂2

（1.河南大學(xué) 軟件學(xué)院，河南開封475000；2.北京理工大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院，北京100081）

原創(chuàng)聲明：此內(nèi)容為AET網(wǎng)站原創(chuàng)，未經(jīng)授權(quán)禁止轉(zhuǎn)載。

相關(guān)內(nèi)容