51 / 2021-12-06 17:49:03

一种基于动静态分析的Hyperledger Fabric 智能合约漏洞检测支持框架

Hyperledger Fabric；智能合约；漏洞检测；符号执行；抽象语法树

Hyperledger Fabric 是继以太坊之后区块链技术的又一发展，其特性更适合作为智能合约的运行平台。然而目前 Hyperledger Fabric 智能合约（又称“链码”）仍处于起步阶段，测试技术尚不成熟。基于此，本文对链码的自动化漏洞检测进行了研究。首先，通过调研链码漏洞的现有研究，总结整理了 17 种链码漏洞。其次，鉴于动态检测的高准确率与静态检测的高效率，本文提出了一种将动态符号执行和静态抽象语法树分析技术相结合的链码漏洞检测框架，并实现支持工具，可以检测上述 15 种漏洞类型。最后，对从 GitHub 上收集的 15个 Hyperledger Fabric 项目的链码进行检测，在其中 13 个项目中检测出未知漏洞，经人工检验精确率为 91%。为了验证召回率，对收集的链码人工注入 30 处漏洞，均被检测出来。评估结果说明，本文提出的基于动静态分析相结合的智能合约漏洞检测方法，应用于 Hyperledger Fabric 领域，具备一定的创新性和有效性。