Chu H, Zhang P, Dong H, et al. A survey on smart contract vulnerabilities: Data sources, detection and repair[J]. Information and Software Technology, 2023: 107221.
发表于IST23 CCFB,介绍智能合约发展的综述文章
摘要
智能合约满足不可篡改性和无第三方的性质,现有研究聚焦于特定领域,如开发周期、攻击方法、安全监测工具等,本文从vulnerability data sources, vulnerability detection, and vulnerability defense三个方面进行研究。首先分析智能合约现有的安全问题和挑战,调查现有的漏洞分类框架和常见的安全漏洞,分析现有安全工具的性能,总结了智能合约安全相关研究
Introduction
主要研究合约层的安全,考虑以下几个问题
- 矿工恶意,操纵交易顺序
- 合约相互调用可能存在风险
- 链上合约是由开发者写的,可能存在漏洞
- 合约独有的机制(如gas)可能会存在特定的安全问题
发现合约的漏洞后,只能通过自毁进行止损,无法通过发布补丁或更新版本的方式进行修复
2016年以来主要的区块链攻击如表1所示
作者调查了2015-2022年关于智能合约安全的文章,选出了49篇具有代表意义的
本文贡献:
- 对智能合约安全时间和挑战全面的分析。
- 对智能合约安全监测和防御方法系统的回顾。包括现有的漏洞检测工具、性能测试工具和漏洞修复方法,对保证安全性的方法进行了总结
- 阐述了现有研究的不足和未来的研究方向。针对各种安全挑战,分析了现有智能合约安全方法的优缺点。特别是,本文广泛研究了可用的评估数据集,现有的漏洞修复方法和基于人工智能的漏洞检测方法。指出了解决这些不足的未来研究方向。