智能合約安全問題與研究現(xiàn)狀
信息技術與網(wǎng)絡安全
趙 輝1,李 星1,譚嘉誠1,蓋珂珂2
(1.河南大學 軟件學院,河南 開封475000;2.北京理工大學 網(wǎng)絡空間安全學院,北京100081)
摘要: 智能合約是運行在區(qū)塊鏈上的程序,具有去中心化、不可篡改的特性,被廣泛應用于金融、能源、物聯(lián)網(wǎng)等多個領域。然而智能合約一旦實際部署到實時網(wǎng)絡上就不能對其更改,在保證合約安全的同時,缺陷和錯誤也不能通過修改合約代碼得以解決,從而導致重大的安全事故。因此合約實際部署前對其進行安全測試已經(jīng)成為迫切需要解決的問題。介紹了因智能合約漏洞引起的安全事件,對常見的合約漏洞進行詳細分析,完成對已有合約分析工具的總結,體現(xiàn)了合約安全問題的研究發(fā)展現(xiàn)狀。
中圖分類號: TP301
文獻標識碼: A
DOI: 10.19358/j.issn.2096-5133.2021.05.001
引用格式: 趙輝,李星,譚嘉誠,等。 智能合約安全問題與研究現(xiàn)狀[J].信息技術與網(wǎng)絡安全,2021,40(5):1-6,19.
文獻標識碼: A
DOI: 10.19358/j.issn.2096-5133.2021.05.001
引用格式: 趙輝,李星,譚嘉誠,等。 智能合約安全問題與研究現(xiàn)狀[J].信息技術與網(wǎng)絡安全,2021,40(5):1-6,19.
Research status of smart contract security
Zhao Hui1,Li Xing1,Tan Jiacheng1,Gai Keke2
(1.Software College,Henan University,Kaifeng 475000,China; 2.School of Cyberspace Science and Technology,Beijing Institute of Technology,Beijing 100081,China)
Abstract: Smart contract is a program running on the blockchain, which is decentralized and tamperable. It is widely used in finance, energy, Internet of Things and other fields. However, once the smart contract is actually deployed on the real-time network, it can not be changed. While ensuring the security of the contract, defects and errors can not be solved by modifying the contract code, resulting in major security incidents. Therefore, it has become an urgent problem to test the security of the contract before the actual deployment. This paper introduces the security incidents caused by smart contract vulnerabilities, analyzes the common contract vulnerabilities in detail, and summarizes the existing contract analysis tools, which reflects the research and development status of contract security issues.
Key words : smart contract;vulnerability analysis;block chain;security analysis tool
0 引言
智能合約的概念最早由美國著名計算機學科學家SZABO N[1]提出,由于當時技術發(fā)展和缺乏可信執(zhí)行環(huán)境等原因,智能合約并沒有得到良好的應用。直到一個化名為中本聰?shù)膶W者提出了比特幣的概念[2],其底層技術區(qū)塊鏈的興起重塑了智能合約,解決了之前技術不成熟和應用場景缺失等問題。
區(qū)塊鏈具有去中心化、不可篡改等特性,為智能合約提供了一個解決信任問題的機制。相較于傳統(tǒng)的金融合同,智能合約有很多的優(yōu)點,智能合約執(zhí)行的過程不需要可信的第三方的參與,一旦滿足合約中的條件,相應的條款將會被強制自動地執(zhí)行。智能合約降低了信任成本,并且將用戶使用合約的門檻降低。基于智能合約的區(qū)塊鏈技術廣泛應用于金融[3]、能源[4]和物聯(lián)網(wǎng)[5]等領域。
隨著智能合約的迅速發(fā)展,智能合約復雜性不斷增加,面臨著許多不可忽視的安全問題,頻發(fā)的合約攻擊事件表明,智能合約的安全問題十分嚴重,智能合約漏洞的研究受到了廣泛的關注。
本文詳細內(nèi)容請下載:http://m.jysgc.com/resource/share/2000003543
作者信息:
趙 輝1,李 星1,譚嘉誠1,蓋珂珂2
(1.河南大學 軟件學院,河南 開封475000;2.北京理工大學 網(wǎng)絡空間安全學院,北京100081)
此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權禁止轉(zhuǎn)載。