【论文阅读】关于智能合约的漏洞检测

最新推荐文章于 2025-11-03 09:01:55 发布
原创 最新推荐文章于 2025-11-03 09:01:55 发布 · 2.5k 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#论文阅读 #智能合约

两篇论文,都是关于智能合约漏洞检测的综述文章
[1]崔展齐,杨慧文,陈翔等.智能合约安全漏洞检测研究进展[J/OL].软件学报:1-33[2024-03-05].https://doi.org/10.13328/j.cnki.jos.007046.
[2]王丹,黄松,王兴亚.以太坊智能合约测试研究综述[J].信息技术与信息化,2023(10):52-58.
两篇文章中主要内容都是总结了13种常见的漏洞类型并进行简单介绍、几类测试方法以及未来的工作和展望。在第一篇论文中还介绍了当前的基于机器学习的测试方法的公开数据集。

1 漏洞类型

不单单是这两篇论文,在其他的智能合约漏洞检测论文中,都是从高级语言层、EVM层和区块链层三层来进行大分类的。由于目前常见的合约语言都是solidity语言,所以大部分的高级语言层也可以说是针对solidity语言来编写代码的漏洞。
下图是[1]文献中的漏洞分类表:
分类1
分类2
其中,重点了解了重入漏洞。

1.1 重入漏洞

在了解重入漏洞之前,需要先了解一下转账函数和回调函数:
转账函数主要有三种:transfer()、send()和call()函数,三者的区别在于遇到异常的时候是否会抛出异常以及后续的代码是否还会继续执行;
回调函数是指fallback()函数,该函数在向合约转账的时候会自动调用。
所以在重入攻击事件中,账户A在向攻击合约转账之后,会自动调用fallback函数,如果攻击函数在fallback函数中添加了withdraw函数,该函数就会继续完成账户A向合约转账的行为,就会一直循环下去,因为c

最低0.47元/天 解锁文章
区块链测试与安全:智能合约漏洞分析与防范
威哥说编程
08-02 993
摘要: 智能合约作为区块链核心组件,广泛应用于金融、供应链等领域,但其不可修改性和自动执行特性要求极高的安全性。本文分析了重入攻击、整数溢出、时间依赖、权限管理和拒绝服务等常见漏洞,提出了如Checks-Effects-Interactions模式、SafeMath库等防范措施。同时介绍了单元测试、静态分析、形式化验证和Fuzz测试等安全测试方法,并建议通过代码审计、代理合约升级、限额和时间锁机制等最佳实践提升安全性。随着智能合约复杂性增加,持续关注安全防范至关重要。(150字)
智能合约的漏洞测试
2401_84837659的博客
08-11 986
分析合约内容可知:这个合约中出现了典型的整型溢出漏洞,当数据足够大时,对此数据添加1可能将导致数据存在归零的危害,此类问题常常存在与账户转账中金额设置中,包括美链等智能合约都出现类似的问题。当我们再次查看合约方法内容时,会发现在此处调用方法时由于fallback的不停被调用,此函数也会不停的进行转帐操作,所以我们可以对合约进行以下修改。在此处由于没有receive函数,fallback函数会不停的被调用,导致测试时账户的钱被偷走。根据返回信息我们可以看出合约漏洞问题 出现在fallback函数上。
论文阅读】Smart Contract Vulnerability Detection Using Graph Neural Networks
RuRu_Bai的博客
04-09 2285
的调用,这些函数对于检测特定漏洞非常重要。例如,对于重入漏洞,主节点对传递函数或内置。
19、智能合约漏洞检测技术全解析
plant的博客
11-03 58
本文全面解析了智能合约在Solidity层、EVM层、区块层及Web 3.0层面存在的各类安全漏洞,如重入攻击、整数溢出、交易顺序依赖和三明治攻击等。系统介绍了形式化验证、符号执行、模糊测试、污点分析和机器学习等多种漏洞检测技术的原理与应用案例,并结合实际工具如Oyente、teEther、ContractFuzzer等进行说明。文章最后提出应综合运用多种检测方法以提升智能合约的安全性,强调持续改进与技术创新对保障区块链生态安全的重要性。
区块链论文7(oyente智能合约漏洞检测工具)
XingFuXiaoAi520的博客
06-12 9301
Making Smart Contracts Smarter 文章路径 Abstract: Cryptocurrencies record transactions in a decentralized data structure called a blockchain. Two of the most popular cryptocurrencies, Bitcoin and Ethereum, support the feature to encode rules or scripts for
智能合约漏洞检测论文整理
小楼一夜听春雨
10-19 2807
论文1:《智能合约:架构及进展》 欧阳丽炜等 本文内容较为基础,是一篇综述。 第1节概述智能合约,包括区块链简介、智能合约运行机制和基础架构模型以及主流的开发平台 第2节介绍了智能合约的各种问题,包括隐私问题、法律问题、安全问题、机制设计问题、性能问题和漏洞检测技术 第3节结合应用,从金融、管理等领域介绍了智能合约的典型应用 第4节展望了一下智能合约未来的发展趋势 总结来说,主要给我们讲述了智能合约是啥,能干啥。 论文2:智能合约安全漏洞检测技术研究综述 钱鹏等 本文从Solidity代码层、EVM执行层、
智能合约漏洞检测——时序信息传播网络TMP
m0_53275879的博客
11-14 1468
智能合约漏洞检测——时序信息传播网络传播模型(TMP model)的介绍
25、区块链异常交易检测与智能合约漏洞检测综述
moss5的博客
08-15 78
本文综述了区块链异常交易检测与智能合约漏洞检测的研究进展。区块链异常交易检测通过数据挖掘和深度学习技术识别可疑行为,解决数据不平衡和特征提取难题;智能合约漏洞检测则主要依赖符号执行技术,挖掘合约代码中的安全隐患。文章还探讨了两者间的关联与协同机制,提出未来发展趋势,包括多技术融合、实时监测预警、跨链检测以及符号执行优化、自动化修复等。最后,提供了操作建议与实践指导,助力构建更安全的区块链系统。
23、智能合约漏洞与区块链异常交易检测深度剖析
moss5的博客
08-13 103
本文深度剖析了区块链领域中的智能合约漏洞和异常交易检测问题。文章详细分析了多种SWC漏洞的原理、示例和实际影响,并探讨了智能合约漏洞研究的有效性威胁与启示。此外,文章还介绍了区块链异常交易检测的现状,包括数据不平衡、特征提取和分类算法,并探讨了图卷积网络(GCN)在区块链异常检测中的应用前景。最后,文章总结了当前的研究成果,并展望了未来的发展趋势,包括多技术融合、标准化与规范化、跨链检测以及用户安全意识提升等方向。
基于深度学习的智能合约安全漏洞检测方法与系统实现
最新发布
12-22
实施环节则涵盖代码开发、模型训练、调优测试与结果分析,最终形成结构完整、逻辑清晰的学术论文或项目报告。 此类设计强调创新性与实用性并重,鼓励在特定应用场景如智能感知、决策系统或自动化工具中进行探索。...
结合GNN和专家知识检测智能合约漏洞
m0_56222998的博客
03-13 3404
翻译自Combining Graph Neural Networks with Expert Knowledge for Smart Contract Vulnerability Detection
大型语言模型和自适应混合专家进行智能合约漏洞检测
hao_wujing的专栏
08-02 989
大家读完觉得有帮助记得关注和点赞!!!抽象随着区块链安全问题的日益严重,智能合约漏洞检测成为研究重点。现有的漏洞检测方法有其局限性:1)静态分析方法难以应对复杂场景。2)基于专门预训练模型的方法在特定数据集上表现良好,但泛化能力有限。相比之下,通用大型语言模型 (LLM) 在适应新漏洞模式方面表现出令人印象深刻的能力。然而,与基于专门预训练模型的方法相比,它们在特定漏洞类型上的表现往往不佳。我们还观察到,通用法学硕士生成的解释可以提供细粒度的代码理解信息,有助于提高检测性能。受这些观察的启发,我们提出了 S
论文阅读智能合约安全漏洞检测技术研究综述
weixin_46031140的博客
09-13 2006
Solidity 智能合约函数和变量的访问限制有 4 种, 即 public, private, external, internal.如果函数未使用这些标识符, 那么默认情况下, 智能合约函数的访问权限为 public, 亦即该函数允许被本合约或其他合约的任何函数调用, 这种情况可能导致该函数被攻击者恶意调用;当一个智能合约调用另一个合约中的函数时, 若函数和参数类型无法匹配到被调用合约中的函数, 此时将会默认调用该合约中的Fallback函数. 攻击者可以Fallback函数中隐藏恶意操作。
智能合约_智能合约代码层漏洞小记
weixin_39867509的博客
12-18 952
一.前言这周由于兴(lao)趣(shi)趋(yao)势(qiu),阅读了几篇以太坊智能合约安全综述,对其中的几个代码层漏洞进行整理归纳,并结合安全事件与相关案例进行分析,如有不正确的地方,还望各位大佬多多指正。二.以太坊智能合约程序编程模型1.程序结构以太坊上的智能合约主要是通过Solidity进行编写,Solidity是一种具有面向对象性质的弱类型语言。在以太坊上部署智能合约时,开发人...
智能合约漏洞检测工具mythril使用
小楼一夜听春雨
11-01 5475
背景: 在经过长期探索之后,今天终于可以利用mythril来检测一下合约了 环境需要: 我是在centos7虚拟机下的,使用docker 直接用docker配置好的环境来跑,非常方便 合约检测命令: docker run -v /home/worker/cslearningworker/vscode:/contract mythril/myth analyze /contract/test3.sol --solv 0.5.7 -t 2 合约检测: 1.若随机数,区块信息依赖检测不出来: pragma
基于深度学习的智能合约漏洞检测关键技术研究【附数据】
坷拉博士
11-05 2059
最后,针对数据集的样本数量少时误判率高的问题,提出一种基于集成学习算法的智能合约特征数据多角度分析漏洞分类技术通过更新数据权重进行迭代学习从而得到多个预测函数的优化分类方法,使分类模型的边界更加稳定,提高分类器的鲁棒性。用户登录D&E智能合约安全漏洞检测系统测试端,确定特征提取和分类方法后将智能合约代码上传,向测试对象发送智能合约漏洞检测请求,安全检测工具截取该测试请求的数据,根据漏洞检测策略进行检测,获得智能合约漏洞检测结果,检测结果涵盖了其是否存在漏洞以及漏洞类型等信息。
智能合约安全漏洞检测技术研究综述——常见漏洞简述
小楼一夜听春雨
09-23 3421
摘自“钱鹏 等:智能合约安全漏洞检测技术研究综述” 三个层面的安全问题:solidity代码层,evm执行层,区块链系统层 漏洞检测方法:形式化验证法,符号执行法,模糊测试法,中间表示法,深度学习法 The Dao重入攻击 parity多签名钱包合约的delegatecall漏洞 bec合约的整数溢出漏洞无限复制代币 EOS.WIN连续随机数攻击 智能合约运行时允许与外部合约函数或接口交互:重复的外部调用 以太坊DAPP总价值应用在博彩、游戏等高风险类别 solidity代码层 1.可重入漏洞 独特的fal
Java智能合约测试:用代码炼金术破解区块链的黑箱,让漏洞无处遁形
java专栏
05-06 930
上周,某DeFi合约因重入漏洞损失2.3亿美元——而这个漏洞本可以通过完善的Java测试框架提前发现! 本文将用代码+策略+实战案例,手把手教你:1.1 Web3j与以太坊交互基础 1.2 Hedera SDK的跨链测试 二、模拟环境搭建:用Testcontainers打造"区块链沙盘" 2.1 Ganache本地节点容器化 三、单元测试:用Mockito模拟"攻击者" 3.1 模拟重入攻击测试 四、集成测试:压力测试与Gas优化 4.1 Gas消耗分析 五、漏洞检测:用Java代码"X
智能合约 -- 常规漏洞分析 + 实例
本郡主是喵
08-11 5879
在上面的代码片段中我们可以看到,distribute() 函数中会去遍历投资者数 组,但是合约的循环遍历数组是可以被外部的人进行人为扩充,如果有攻 击者要攻击这个合约,那么他可以创建多个账户加入投资者的数组,让 investors 的数据变得很大,大到让循环遍历数组所需的 gas 数量超过区块 gas 数量的上限,此时 distribute() 函数将无法正常操作,这样就会造成该 合约的拒绝服务攻击。第一去取钱,状态变量修改为true,从而将函数锁住,必须等这次函数执行完毕,才能重新对函数进行调用。
Sailfish智能合约漏洞工具
03-09
<think>好的,我现在需要处理用户关于Sailfish智能合约安全审计工具的问题。首先,用户提到他们想寻找Sailfish相关的漏洞检测或利用工具,但根据我的现有知识库,并没有直接提到Sailfish工具的信息。不过,用户提供的引用中提到了基于GNN的智能合约漏洞检测方法和一些逆向工具,这可能为我提供线索。 首先,我应该确认Sailfish是否是一个已知的工具。如果我的知识库中没有相关信息,可能需要建议替代方案。例如,引用[1]中提到了一种结合AST、CFG和PDG的图表示方法,以及程序切片技术,这可能是一种先进的检测方法。而引用[2]则提到了逆向工具如frida、xposed等,虽然这些主要用于移动应用,但或许在智能合约分析中也有应用。 接下来,我需要检查是否有其他相关的工具或框架可以用于智能合约的安全审计。例如,常见的工具有Slither、Mythril、Oyente等,这些工具基于静态分析或符号执行,可能符合用户的需求。此外,基于机器学习的工具,如引用[1]中的GNN模型,可能属于学术研究中的方法,尚未有成熟的工具实现,但用户可以参考相关论文。 用户的问题中可能存在的深层需求是寻找高效、准确的漏洞检测工具,特别是针对Sailfish的。但如果没有Sailfish的具体信息,可能需要建议通用工具,并说明它们的优缺点。此外,用户可能对工具的原理感兴趣,比如是否结合了图神经网络,或者是否有自动化审计功能。 最后,需要确保回答结构清晰,分点列出现有工具、可能的解决方案和研究方向,并提醒用户注意工具更新和社区资源。同时,按照用户要求,引用末尾添加引用标识,比如引用[1]和引用[2]中的相关内容。</think>根据现有资料,目前没有直接提到名为“Sailfish”的智能合约安全审计工具,但结合智能合约安全领域的技术趋势和现有工具,以下是可能相关的解决方案和研究方向: --- ### 一、现有智能合约漏洞检测工具与技术 1. **基于静态分析的通用工具** - **Slither**:支持Solidity静态分析,检测重入、整数溢出等50+漏洞类型,集成在Truffle框架中[^1] - **Mythril**:基于符号执行和约束求解,检测交易顺序依赖等复杂漏洞 - **Oyente**:首个符号执行工具,识别未处理异常等问题 2. **动态分析与混合方法** ```python # 示例:使用Brownie测试重入漏洞 from brownie import accounts, ReEntrancyDemo def test_reentrancy(): contract = ReEntrancyDemo.deploy({'from': accounts[0]}) attacker = accounts[1] # 模拟攻击调用链 with reverts(): contract.withdraw({'from': attacker}) ``` 3. **基于机器学习的检测** 如引用[1]提出的**GNN模型**,通过AST/CFG/PDG图结构分析代码语义,检测精度比传统规则方法提升18.7% --- ### 二、针对“Sailfish”的可能关联方向 1. **工具特性推测**(若Sailfish为新型工具) - 可能整合了**程序切片技术**(如引用[1]的冗余信息消除方法) - 可能采用**混合注意力池机制**增强漏洞模式识别[^1] - 或结合**字节码分析**提升兼容性(参考引用[1]的字节码分类方案) 2. **逆向工程辅助工具** 如引用[2]提到的Frida/Xposed,可用于动态验证合约行为[^2],但需配合反编译工具使用 --- ### 三、建议行动方案 1. **工具获取途径** - 检查GitHub/GitLab以“Sailfish Smart Contract”为关键词搜索 - 查阅IEEE/ACM近3年论文,确认是否为学术原型工具 - 联系区块链安全公司(如ChainSecurity、OpenZeppelin)获取商业工具信息 2. **替代方案实施步骤** - **第一阶段**:用Slither完成基础漏洞扫描 - **第二阶段**:通过Manticore进行符号执行验证 - **第三阶段**:利用Tenderly模拟交易路径分析 ---
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值