智能合约是一种被大量部署在区块链上的去中心化的应用.由于其具有经济属性,智能合约漏洞会造成潜在的巨大经济和财产损失,并破坏以太坊的稳定生态.因此,智能合约的漏洞检测具有十分重要的意义.当前主流的智能合约漏洞检测方法 (诸如Oyente和Securify)采用基于人工设计的启发式算法,在不同应用场景下的复用性较弱且耗时高,准确率也不高.为了提升漏洞检测效果,针对智能合约的时间戳漏洞,提出基于数据流传播路径学习的智能合约漏洞检测方法 Scruple.所提方法首先获取时间戳漏洞的潜在的数据传播路径,然后对其进行裁剪并利用融入图结构的预训练模型对传播路径进行学习,最后对智能合约是否具有时间戳漏洞进行检测.相比而言,Scruple具有更强的漏洞捕捉能力和泛化能力,传播路径学习的针对性强,避免了对程序整体依赖图学习时造成的层次太深而无法聚焦漏洞的问题.为了验证Scruple的有效性,在真实智能合约的数据集上,开展Scruple方法与13种主流智能合约漏洞检测方法的对比实验.实验结果表明, Scruple在检测时间戳漏洞上的准确率,召回率和F1值分别可以达到0.96, 0.90和0.93,与13种当前主流方法相比,平均相对提升59%, 46%和57%,从而大幅提升时间戳漏洞的检测能力.

• 单位
  重庆大学; 上海第二工业大学; 中山大学; 广州商学院; 国防科技大学