【论文阅读】关于智能合约的漏洞检测

最新推荐文章于 2025-05-06 02:00:00 发布
最新推荐文章于 2025-05-06 02:00:00 发布
阅读量2.1k 收藏 19
点赞数 17
分类专栏: 区块链 论文阅读 文章标签: 论文阅读 智能合约
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RuRu_Bai/article/details/136476754
版权

两篇论文,都是关于智能合约漏洞检测的综述文章
[1]崔展齐,杨慧文,陈翔等.智能合约安全漏洞检测研究进展[J/OL].软件学报:1-33[2024-03-05].https://doi.org/10.13328/j.cnki.jos.007046.
[2]王丹,黄松,王兴亚.以太坊智能合约测试研究综述[J].信息技术与信息化,2023(10):52-58.
两篇文章中主要内容都是总结了13种常见的漏洞类型并进行简单介绍、几类测试方法以及未来的工作和展望。在第一篇论文中还介绍了当前的基于机器学习的测试方法的公开数据集。

1 漏洞类型

不单单是这两篇论文,在其他的智能合约漏洞检测论文中,都是从高级语言层、EVM层和区块链层三层来进行大分类的。由于目前常见的合约语言都是solidity语言,所以大部分的高级语言层也可以说是针对solidity语言来编写代码的漏洞。
下图是[1]文献中的漏洞分类表:
分类1
分类2
其中,重点了解了重入漏洞。

1.1 重入漏洞

在了解重入漏洞之前,需要先了解一下转账函数和回调函数:
转账函数主要有三种:transfer()、send()和call()函数,三者的区别在于遇到异常的时候是否会抛出异常以及后续的代码是否还会继续执行;
回调函数是指fallback()函数,该函数在向合约转账的时候会自动调用。

最低0.47元/天 解锁文章
量子级区块链安全测试:Java实现智能合约漏洞的原子级穿透检测
墨夶的博客
04-11 623
/ 量子安全测试框架接口/*** 量子漏洞扫描* @param contract 智能合约字节码* @return 漏洞事件列表*/// 量子级共识验证// 调用量子并行检测算法// 量子漏洞检测器// 量子并行检测// 调用形式化验证+符号执行混合算法// 形式化验证// 调用Z3求解器// 符号执行// 调用K框架“当Java遇上量子计算,区块链安全测试不再只是漏洞的修补者,而成为构建’量子防御矩阵’的造物主。架构设计:量子安全层、智能合约检测器、共识验证器。
智能合约智能合约性能测试:测试智能合约的性能和质量
AI天才研究院
07-20 3221
作者:禅与计算机程序设计艺术 随着区块链技术的飞速发展,各大公链上已经出现了众多的智能合约(Smart Contract)系统。这些系统能使得链上数据的不可篡改、可追溯、不可伪造等特征得以实现。但同时也带来了很多的复杂性和挑战,如何确保智能合约的运行性能、安全性能和正确性,成为业界关注的焦点。 在智能合约的开发、测试、部署过
智能合约的漏洞测试
2401_84837659的博客
08-11 808
分析合约内容可知:这个合约中出现了典型的整型溢出漏洞,当数据足够大时,对此数据添加1可能将导致数据存在归零的危害,此类问题常常存在与账户转账中金额设置中,包括美链等智能合约都出现类似的问题。当我们再次查看合约方法内容时,会发现在此处调用方法时由于fallback的不停被调用,此函数也会不停的进行转帐操作,所以我们可以对合约进行以下修改。在此处由于没有receive函数,fallback函数会不停的被调用,导致测试时账户的钱被偷走。根据返回信息我们可以看出合约漏洞问题 出现在fallback函数上。
智能合约漏洞检测论文整理
小楼一夜听春雨
10-19 2586
论文1:《智能合约:架构及进展》 欧阳丽炜等 本文内容较为基础,是一篇综述。 第1节概述智能合约,包括区块链简介、智能合约运行机制和基础架构模型以及主流的开发平台 第2节介绍了智能合约的各种问题,包括隐私问题、法律问题、安全问题、机制设计问题、性能问题和漏洞检测技术 第3节结合应用,从金融、管理等领域介绍了智能合约的典型应用 第4节展望了一下智能合约未来的发展趋势 总结来说,主要给我们讲述了智能合约是啥,能干啥。 论文2:智能合约安全漏洞检测技术研究综述 钱鹏等 本文从Solidity代码层、EVM执行层、
智能合约漏洞检测——时序信息传播网络TMP
m0_53275879的博客
11-14 1329
智能合约漏洞检测——时序信息传播网络传播模型(TMP model)的介绍
论文阅读】Smart Contract Vulnerability Detection Using Graph Neural Networks
RuRu_Bai的博客
04-09 1966
的调用,这些函数对于检测特定漏洞非常重要。例如,对于重入漏洞,主节点对传递函数或内置。
结合GNN和专家知识检测智能合约漏洞
m0_56222998的博客
03-13 2969
翻译自Combining Graph Neural Networks with Expert Knowledge for Smart Contract Vulnerability Detection
论文阅读】基于多特征融合的智能合约缺陷检测方法
RuRu_Bai的博客
03-21 1914
摘要:1、预处理:颜色标记、词汇提取、字符转换、合约之间的继承关系的提取2、 使用融合模型进行特征提取(BERT、CNN、BiLSTM)3、使用node2vec随机游走算法,将合约之间的继承关系作为输入得到合约关系的特征向量。4、使用特征向量进行缺陷分类。
【论文笔记】基于交易的以太坊智能合约分类检测方法
m0_53528910的博客
05-11 3884
一、文章介绍 二区sci期刊 信息处理与管理 作者:电子科技大学 计算机应用研究所 二、文章问题及本文工作 问题:智能合约可以简化和加速各种应用的开发,但也带来了一些问题。 例如,利用智能合约进 行欺诈,故意开发漏洞合约破坏公平性,以及大量重复合约浪费性能而没有实际目的。 本文工作:提出了一种基于交易的以太坊智能合约分类和检测方法. 从以太坊收集了超过 10,000 份智能合约,重点关注智能合约和用户产生的数据行为。 ...
模糊测试智能合约的文献阅读笔记-1(sFuzz、ContractFuzzer、ConFuzzius、IR-Fuzz、ILF、RLF)
Wtf52018的博客
12-20 1250
本文总结了个人在阅读智能合约漏洞检测领域的模糊测试相关文献时的见解。
区块链论文7(oyente智能合约漏洞检测工具)
XingFuXiaoAi520的博客
06-12 8483
Making Smart Contracts Smarter 文章路径 Abstract: Cryptocurrencies record transactions in a decentralized data structure called a blockchain. Two of the most popular cryptocurrencies, Bitcoin and Ethereum, support the feature to encode rules or scripts for
论文阅读智能合约安全漏洞检测技术研究综述
weixin_46031140的博客
09-13 1589
Solidity 智能合约函数和变量的访问限制有 4 种, 即 public, private, external, internal.如果函数未使用这些标识符, 那么默认情况下, 智能合约函数的访问权限为 public, 亦即该函数允许被本合约或其他合约的任何函数调用, 这种情况可能导致该函数被攻击者恶意调用;当一个智能合约调用另一个合约中的函数时, 若函数和参数类型无法匹配到被调用合约中的函数, 此时将会默认调用该合约中的Fallback函数. 攻击者可以Fallback函数中隐藏恶意操作。
智能合约_智能合约代码层漏洞小记
weixin_39867509的博客
12-18 911
一.前言这周由于兴(lao)趣(shi)趋(yao)势(qiu),阅读了几篇以太坊智能合约安全综述,对其中的几个代码层漏洞进行整理归纳,并结合安全事件与相关案例进行分析,如有不正确的地方,还望各位大佬多多指正。二.以太坊智能合约程序编程模型1.程序结构以太坊上的智能合约主要是通过Solidity进行编写,Solidity是一种具有面向对象性质的弱类型语言。在以太坊上部署智能合约时,开发人...
智能合约漏洞检测工具mythril使用
小楼一夜听春雨
11-01 5210
背景: 在经过长期探索之后,今天终于可以利用mythril来检测一下合约了 环境需要: 我是在centos7虚拟机下的,使用docker 直接用docker配置好的环境来跑,非常方便 合约检测命令: docker run -v /home/worker/cslearningworker/vscode:/contract mythril/myth analyze /contract/test3.sol --solv 0.5.7 -t 2 合约检测: 1.若随机数,区块信息依赖检测不出来: pragma
基于深度学习的智能合约漏洞检测关键技术研究【附数据】
坷拉博士
11-05 1631
最后,针对数据集的样本数量少时误判率高的问题,提出一种基于集成学习算法的智能合约特征数据多角度分析漏洞分类技术通过更新数据权重进行迭代学习从而得到多个预测函数的优化分类方法,使分类模型的边界更加稳定,提高分类器的鲁棒性。用户登录D&E智能合约安全漏洞检测系统测试端,确定特征提取和分类方法后将智能合约代码上传,向测试对象发送智能合约漏洞检测请求,安全检测工具截取该测试请求的数据,根据漏洞检测策略进行检测,获得智能合约漏洞检测结果,检测结果涵盖了其是否存在漏洞以及漏洞类型等信息。
智能合约安全漏洞检测技术研究综述——常见漏洞简述
小楼一夜听春雨
09-23 3185
摘自“钱鹏 等:智能合约安全漏洞检测技术研究综述” 三个层面的安全问题:solidity代码层,evm执行层,区块链系统层 漏洞检测方法:形式化验证法,符号执行法,模糊测试法,中间表示法,深度学习法 The Dao重入攻击 parity多签名钱包合约的delegatecall漏洞 bec合约的整数溢出漏洞无限复制代币 EOS.WIN连续随机数攻击 智能合约运行时允许与外部合约函数或接口交互:重复的外部调用 以太坊DAPP总价值应用在博彩、游戏等高风险类别 solidity代码层 1.可重入漏洞 独特的fal
Java智能合约测试:用代码炼金术破解区块链的黑箱,让漏洞无处遁形
最新发布
java专栏
05-06 625
上周,某DeFi合约因重入漏洞损失2.3亿美元——而这个漏洞本可以通过完善的Java测试框架提前发现! 本文将用代码+策略+实战案例,手把手教你:1.1 Web3j与以太坊交互基础 1.2 Hedera SDK的跨链测试 二、模拟环境搭建:用Testcontainers打造"区块链沙盘" 2.1 Ganache本地节点容器化 三、单元测试:用Mockito模拟"攻击者" 3.1 模拟重入攻击测试 四、集成测试:压力测试与Gas优化 4.1 Gas消耗分析 五、漏洞检测:用Java代码"X
智能合约 -- 常规漏洞分析 + 实例
本郡主是喵
08-11 5356
在上面的代码片段中我们可以看到,distribute() 函数中会去遍历投资者数 组,但是合约的循环遍历数组是可以被外部的人进行人为扩充,如果有攻 击者要攻击这个合约,那么他可以创建多个账户加入投资者的数组,让 investors 的数据变得很大,大到让循环遍历数组所需的 gas 数量超过区块 gas 数量的上限,此时 distribute() 函数将无法正常操作,这样就会造成该 合约的拒绝服务攻击。第一去取钱,状态变量修改为true,从而将函数锁住,必须等这次函数执行完毕,才能重新对函数进行调用。
基于GNN的智能合约漏洞检测(tmp)方法部分翻译(2)
小楼一夜听春雨
11-16 1825
合约图的规范化 大多数图神经网络在信息传播时都是内在的平等的,忽略了某些节点更重要的作用。而且,不同的合约源代码生成不同的图,从而阻碍了图神经网络的训练。因此,我们提出了一种节点消除过程来实现图的规范化。 节点消除 正如3.1节所介绍的,图中的节点被划分为主要节点Mi,次要节点Si和fallback节点F。我们将每个次要节点移除,但是保留它们和其最近主要节点的特征(应该是指边) 若Si有多个最近的主要节点,则它的特征将传递给所有这些主要节点。fallback节点也将移除,移除方法相似于次要节点。所有的与移
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值