[发明专利]智能合约与链环境交互漏洞检测方法、系统、设备及介质

说明书

本发明公开了一种智能合约与链环境交互漏洞检测方法，包括：将目标智能合约和链上智能合约源代码编译为智能合约中间码；将智能合约中间码转换成智能合约行为模型；将智能合约行为模型转化成交互事务模型；对交互事务模型与目标属性模型进行一致性检测与验证。本发明通过智能合约事务生成、处理及链环境仿真，能够检测出智能合约与链环境交互漏洞问题。

技术领域

本发明涉及区块链智能合约安全技术领域，具体涉及一种智能合约与链环境交互漏洞检测方法、系统、设备及介质。

背景技术

区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。使用去中心化共识机制去维护一个完整的、分布式的、不可篡改的账本数据库的技术，它能够让区块链中的参与者在无需建立信任关系的前提下实现一个统一的账本系统。一个智能合约是一套以数字形式定义的承诺，包括合约参与方可以在上面执行这些承诺的协议。在区块链技术背景下，智能合约是指运行在区块链上，能够执行某些功能的程序代码。将智能合约以数字化的形式写入区块链中，由区块链技术的特性保障存储、读取、执行整个过程透明可追踪、不可篡改。同时，由区块链自带的共识算法构建出一套状态机系统，使得智能合约能够高效地运行。

由于区块链不可篡改特性，一旦因自身设计的缺陷，导致智能合约遭受攻击，或将产生不可逆转的重大损失。现有技术通常使用一些代码缺陷检查方法，例如形式化验证、静态代码分析、模糊测试等技术，提前发现程序缺陷代码，及时修改问题代码，可起防范于未然的作用。

黑客对智能合约的攻击手法可分为两类：1)对链上的单个智能合约代码进行分析，找到程序漏洞并发起攻击；2)对链上多个智能合约的组合交互行为进行分析，找到交互漏洞并发起攻击。现有的智能合约代码漏洞检测验证系统及工具都是利用静态代码分析、模糊测试和形式化验证等方法对单个智能合约程序进行检测验证，用于防范黑客的第一类攻击手法。现有技术还提到了智能合约组合交易的情形，但并未提出与目标属性相关的非重复行为完备事务裁剪与生成方法，而且所用验证引擎也无法推理事务执行时间对攻击效果的影响。总之，现有技术方案所设计的系统或工具缺少事务执行时间、事务随机执行等链环境仿真功能，导致无法推理或检测出因交易池中事务执行时间、事务重新排序、矿工插入恶意交易序列等导致的智能合约与链环境的交互漏洞，从而无法有效防范黑客的第二类攻击手法(即对交互漏洞的攻击)。

此外，现有技术缺少有效的事务生成与处理方案。在事务生成方面，现有技术缺少对事务的过滤与筛选，导致在事务处理过程中需要检测引擎处理大量目标属性无关事务，极大降低了检测系统的漏洞检测能力。特别的，当检测引擎采用形式化方法对大量事务进行处理时会因路径状态空间爆炸问题导致检测系统失效。

发明内容

为了解决现有技术无法有效检测出智能合约与链环境交互漏洞的问题，本发明提供了一种智能合约与链环境交互漏洞检测方法、系统、设备及介质。本发明通过智能合约事务生成、处理及链环境仿真，能够检测出智能合约与链环境交互漏洞问题。

本发明通过下述技术方案实现：

一种智能合约与链环境交互漏洞检测方法，包括：

将目标智能合约和链上智能合约源代码编译为智能合约中间码；

将智能合约中间码转换成智能合约行为模型；

将智能合约行为模型转化成交互事务模型；

对交互事务模型与目标属性模型进行形式化验证。

作为优选实施方式，本发明的将智能合约中间码转换成智能合约行为模型，具体为：

通过词法分析器将智能合约中间码转换成标记序列；

根据标记序列判断每行智能合约中间码的类型并生成中间码类型序列；

根据中间码类型序列生成以智能合约函数为基本单元的抽象中间码；