基于智能合约的以太坊可信存证机制

针对以太坊平台提供的数据管理功能简单且存在低吞吐率和高延迟的问题，提出一种基于智能合约的以太坊可信存证机制。首先针对以太坊平台暴露的数据管理问题提出一个基于智能合约的以太坊可信存证框架，然后通过集中化数据统一处理、认证数据分布式存储以及高效动态取证这几个方面阐述所提机制的框架和实现，最后通过基于智能合约的系统开发表明了该机制的可实现性。实验及分析结果表明，该方法与传统关系数据库存证相比，增加了处理可信性、存储可信性和访问可信性；与区块链存证相比，丰富了数据管理功能、降低了区块存储成本、提高了存证效率。     

基于区块链智能合约的代币系统

针对传统代币中存在的公信力不足、监管困难等问题,结合区块链和智能合约技术,设计了一种去中心化的区块链代币系统。以此区块链代币系统为基础,通过部署代币合约、众筹合约,构建了一个基于区块链的众筹系统,实现了基本的众筹功能。同时设计了资金管理合约,实现了众筹成功后对发起者的监督和资金的管理。最后通过以太坊平台进行系统测试,分析了该代币系统的功能性、安全性以及时间性能。结果表明,基于区块链的代币系统在实现代币基本功能的同时,能够有效提升代币的安全性和功能性。     

以太坊智能合约的漏洞自动化修复技术研究

以太坊等公链上的智能合约可以实现各种去中心化应用,但频发的安全事件导致用户的财产遭受威胁。智能合约安全问题极大地影响用户对去中心化应用的信任度,且链上信息具有不可篡改的特性,使得智能合约在部署前的安全审计和漏洞修复过程必不可少,但当前的安全研究大多聚焦于智能合约漏洞检测技术。文章首先介绍了智能合约相关背景并比较了其与传统应用程序的差异,提出了包含漏洞识别和补丁生成两大关键步骤的智能合约部署前漏洞自动化修复流程,然后分析并阐述了常见的漏洞类型和漏洞检测技术,深入讨论了基于字节码和源码生成智能合约常见漏洞补丁的研究进展,最后对智能合约漏洞补丁生成技术面临的有效性、成本、可扩展性等性能问题以及漏洞自动修复技术的未来方向进行了展望。     

基于区块链和智能合约的物联网访问控制架构

为解决传统的中心化的物联网(Internet of Things,IoT)访问控制解决方案中存在的单点失效、规模受限等安全问题,基于以太坊区块链和智能合约技术,采用中心化与去中心化相结合的方法,提出了一个面向IoT的访问控制架构.该架构中设计了多个访问控制合约、一个设备管理合约、一个管理员管理合约等多种合约,来实现去中...     

基于区块链智能合约的应用研究综述

通过概述区块链智能合约的运作原理及应用研究现状,对现存项目和存在的问题进行分析总结.首先,基于区块链智能合约整体架构介绍合约模型及运行原理,以Ethereum、Hyperledger Fabric和EOSIO三大区块链平台为例分析智能合约部署原理并对三大平台进行对比分析.针对国内外区块链智能合约的应用研究进行归纳总结,并讨论区块链智能合约未来创新应用和发展趋势.从金融交易、物联网和医疗应用三大应用研究领域介绍了基于Ethereum和Hyperledger Fabric平台的区块链智能合约应用现状,进一步探讨了基于EOS(enter-prise operation system)的应用研究和其他应用领域研究现状.最后,从隐私、机制设计与安全、性能和形式化验证等智能合约自身存在问题及三大平台应用存在的不足对区块链智能合约的未来研究方向进行分析和展望.     

基于区块链的众筹智能合约设计

众筹是当前热门的一种互联网融资模式，目前的众筹平台存在违规经营、公信力不足、监管不善等诸多问题。智能合约是一种由事件驱动的、具有状态的代码合约和算法合同，随着区块链技术的深入发展而受到广泛关注和研究。基于区块链的智能合约技术具有去中心化、自治化、可观察、可验证、可信息共享等特点，可以有效构建可编程金融，为解决众筹平台的问题提供了新的途径。在区块链和智能合约理论的基础上，搭建了众筹区块链（Crowdfunding Blockchain，CBC），并基于以太坊实验环境开发了众筹合约系统，将传统的众筹合约文本代码化，合约的存储与执行均在区块链上进行，这不仅保证了众筹项目的自治化和可靠性，而且提高了项目可信性和公信力。     

面向智能合约链上升级的松耦合模型研究

针对已部署到区块链上的智能合约无法实现升级的问题,结合以太坊技术提出了一种松耦合的新型智能合约模型。该模型将传统的智能合约拆分为接口合约集、逻辑合约集、数据合约集三个子集。以此松耦合智能合约模型为基础,设计了一个客户实名转账获取代币的业务场景,通过部署代币合约、接口合约、逻辑合约和数据合约,实现了基本的实名转账功能。最后通过以太坊平台进行系统测试,分析了实名转账场景的功能性、可升级性及成本花销。结果表明基于该模型设计的智能合约,在实现基本功能的同时,能够允许在上链之后对其合约子集进行升级,且能有效降低升级成本,相比传统的链下升级方案,松耦合模型合约的升级成本降低了32.43%,部署成本仅增加了24.16%。     

基于区块并行的以太坊智能合约高速重放

分析和研究以太坊上的区块、交易、账户和智能合约数据具有巨大价值,但是以太坊数据量大、数据种类多、存储结构各异,当前数据获取方法的获取速度慢而且获取的数据不全,因此充分利用这些数据非常困难。文中提出了基于区块并行的以太坊数据快速导出工具Geth-query,通过分析以太坊内部机制,利用区块世界状态快照消除区块之间的依赖关系,优化本机资源利用效率并行重放区块,实现了快速而全面地提取以太坊链上数据。实验证明,Geth-query提取的数据种类丰富,数据导出速度相比传统方法提升了10倍左右。为了使用方便,文中同时对导出的数据进行存储优化,并在前端页面进行数据展示,从而为分析和研究以太坊提供了数据基础。     

一种基于运行时信息的以太坊智能合约防御技术

智能合约是区块链技术最成功的应用之一,已经被广泛集成到应用程序中,成为应用去中心化的常见实现方案.然而,智能合约由于其独有的金融特性,一直以来饱受安全攻击,各种新的恶意攻击类型层出不穷.现有的研究工作提出了多种有效检测合约漏洞的方法,但在实际应用中都存在着各种局限：仅针对已知的漏洞类型,需要修改合约代码来消除漏洞,链上开销过大.由于智能合约部署到链上后的不可修改性,这些针对特定漏洞类型的检测防御手段无法对原有的合约进行修复,因此很难及时地应对新型的漏洞和攻击.为此,提出了一种基于运行时信息的智能合约可升级防御技术,通过引入运行时的各种信息,为链下对攻击和漏洞的检测提供实时的数据.同时,设计了一套部署在合约上的访问控制机制,基于动态检测的结果,对合约的访问进行限制,从而在不需要修改合约代码的情况下实现动态的防御.由于以太坊本身的机制无法对实时攻击进行识别和拦截,为了减小这一影响,利用竞争(race condition)的机制来增强防御的效果.实验结果分析表明：该防御技术可以有效地检测并防御攻击,对于后续的攻击交易,可以实现100%的拦截成功率,对于首次检测到的实时攻击,利用竞争可以达到97.5%的成功率.     

基于字节码的以太坊智能合约分类方法

近年来,区块链技术已在金融、医疗和政务等领域得到了广泛应用和关注。然而,由于智能合约的不易篡改性和运行环境的特殊性,各类安全问题频繁出现。一方面是合约开发者在编写合约时出现的代码安全问题,另一方面是以太坊出现不少高风险智能合约,普通用户很容易被高风险合约提供的高回报所吸引,但对合约的风险却无从知晓。然而,关于智能合约安全的研究主要集中于代码安全方面,对合约功能识别的研究相对较少。假如能对智能合约功能进行准确分类,将有助于人们更好地理解智能合约的行为,同时保障智能合约生态安全,减少或挽回用户的损失。已有的智能合约分类方法通常依赖于对智能合约开源代码的分析,但以太坊发布的合约仅强制要求部署字节码,且只有极少数合约公布了其开源代码。因此,提出了一种基于字节码的以太坊智能合约分类方法。收集以太坊智能合约字节码和对应类别标签,然后提取操作码频率特征以及控制流图特征;通过实验对特征重要性进行分析,获取适合的图向量维度及最优的分类模型;在交易所、金融、赌博、游戏和高风险5个类别的智能合约多分类任务中进行实验验证,使用XGBoost分类器时的F1值达到0.9138。实验结果表明所提方法能较好地完成以太坊智能合约的分类任务,并且能够应用于现实中的智能合约类别预测。     

Ethereum smart contract security research: survey and future research opportunities

Blockchain has recently emerged as a research trend, with potential applications in a broad range of industries and context. One particular successful Blockchain technology is smart contract, which is widely used in commercial settings (e.g., high value financial transactions). This, however, has security implications due to the potential to financially benefit froma security incident (e.g., identification and exploitation of a vulnerability in the smart contract or its implementation). Among, Ethereum is the most active and arresting. Hence, in this paper, we systematically review existing research efforts on Ethereum smart contract security, published between 2015 and 2019. Specifically, we focus on how smart contracts can be maliciously exploited and targeted, such as security issues of contract program model, vulnerabilities in the program and safety consideration introduced by program execution environment. We also identify potential research opportunities and future research agenda.     

基于形式化方法的智能合约验证研究综述

智能合约是区块链技术应用的一个重要场景,智能合约技术实现了区块链的可编程化,提高了其扩展性,有广阔的应用前景。然而,一系列关于智能合约的安全事件造成了大量经济损失,削弱了人们的信心,安全性问题已经成为制约智能合约进一步发展的关键问题。如果合约设计和代码实现的过程中存在缺陷,可能会造成严重后果。而智能合约发布后无法修改,因此,在智能合约发布前对其正确性做出验证尤为重要。近年来,国内外学者在智能合约的验证领域取得了大量成果,但对这些研究成果的系统分析和总结相对较少。对以太坊的交易过程、gas 机制、存储结构、编写语言做了简要介绍,在此基础上调查归纳了智能合约中常见的8种漏洞类型,解释了漏洞产生的原因,回顾了一些真实发生的安全事件并给出了漏洞示例代码;根据不同的技术手段,如符号执行、模型检测、定理证明等,对智能合约的形式化验证工作做分类介绍,分析了各种方法的优劣,并选取了3个开源的自动化验证工具Mythril、Slither和Oyente,从运行效率、检测漏洞类型以及准确率等方面作出实验评估和对比;研究了目前已有的相关综述文章,总结了这些研究的区别与优势;概述了智能合约的漏洞检测技术中仍存在的关键问题,对智能合约验证工作的现状进行了分析和展望,提出了未来能够进一步研究的方向。     

面向智能合约漏洞检测的改进符号执行研究

由于区块链不可窜改的特性,部署到区块链上的智能合约不可更改.为了提高合约的安全性,防止智能合约出现整数溢出、短地址攻击、伪随机等问题,在合约部署之前需对合约进行漏洞检测.针对智能合约的整数溢出漏洞利用符号执行进行分析研究,对现有符号执行方法进行调查发现检测速度较慢,从而提出一种自底向上求解约束的改进符号执行方法,并结合深度优先与广度优先进行路径选择从而提高符号执行的代码覆盖率.实验结果表明,改进符号执行在选取的100份含溢出漏洞的智能合约中检测正确率达84％,平均检测效率提高了20％,在中等规模智能合约中检测效率提升显著,检测结果正确率较高.     

基于符号执行的智能合约漏洞检测方案

随着区块链技术的应用推广,智能合约的数量呈现爆发式增长,而智能合约的漏洞将给用户带来巨大损失。但目前研究侧重于以太坊智能合约的语义分析、符号执行的建模与优化等,没有详细描述利用符号执行技术检测智能合约漏洞流程,以及如何检测智能合约常见漏洞。为此,在分析以太坊智能合约的运行机制和常见漏洞原理的基础上,利用符号执行技术检测智能合约漏洞。首先基于以太坊字节码构建智能合约执行控制流图,再根据智能合约漏洞特点设计相应的约束条件,利用约束求解器生成软件测试用例,检测常见的整型溢出、权限控制、Call注入、重入攻击等智能合约漏洞。实验结果表明,所提检测方案具有良好的检测效果,对Awesome-Buggy-ERC20-Tokens漏洞库中70份含漏洞的智能合约的漏洞检测正确率达85%。     

基于Ethereum的房地产供应链系统设计与实现

以太坊区块链技术是当今互联网时代的一项具有创新性、革命性的综合型分布式数据库账本技术,具有去中介化、自治性、数据不可篡改、可追溯、可编程等特点。分析了传统房地产供应链存在的不足,运用新兴的区块链技术,设计了基于以太坊智能合约的房地产供应链系统。给出了该系统的系统模型,包括系统流程和系统架构两部分。具体说明了系统所涉及到的四个功能模块。展示了系统的工作流程,并讨论了区块链+房地产供应链存在的问题。对区块链应用于房地产供应链领域进行总结,旨在为未来更好地将区块链应用于房地产供应链提供参考。     

智能合约安全漏洞挖掘技术研究

近年来，以智能合约为代表的第二代区块链平台及应用出现了爆发性的增长，但频发的智能合约漏洞事件严重威胁着区块链生态安全。针对当前主要依靠基于专家经验的代码审计效率低下的问题，提出开发通用的自动化工具来挖掘智能合约漏洞的重要性。首先，调研并分析了智能合约面临的安全威胁问题，总结了代码重入、访问控制、整数溢出等10种出现频率最高的智能合约漏洞类型和攻击方式；其次，讨论了主流的智能合约漏洞的检测手段，并梳理了智能合约漏洞检测的研究现状；然后，通过实验验证了3种现有符号执行工具的检测效果。对于单一漏洞类型，漏报率最高达0.48，误报率最高达0.38。实验结果表明，现有研究涵盖的漏洞类型不完整，误报及漏报多，并且依赖人工复核；最后，针对这些不足展望了未来研究方向，并提出一种符号执行辅助的模糊测试框架，能够缓解模糊测试代码覆盖率不足和符号执行路径爆炸问题，从而提高大中型规模智能合约的漏洞挖掘效率。