Precise Attack Synthesis for Smart Contracts
UCSB & University of Washington
智能合约是在区块链平台上运行的程序。它们通过定义良好的接口相互交互,以在没有可信第三方的分布式系统中执行金融交易。但是这些接口也为攻击者提供了有利的环境,攻击者可以利用智能合约中的安全漏洞来获取经济利益。
本文介绍了SMARTSCOPY,一种自动合成对抗性合同的系统,用于识别和利用受害者智能合约中的漏洞。我们的工具基于以太坊生态系统中受害者智能合约的应用程序二进制接口(ABI)规范探索了攻击程序的空间。为了使合成易于处理,我们引入了基于概要的符号评估,它显着减少了我们的合成器需要进行符号评估的指令数量,而不会影响漏洞查询的精度。在基于概要的符号评估的基础上,SMARTSCOPY进一步介绍了一种用于划分综合搜索空间以进行并行探索的新方法,以及可以更早修剪不可行候选者的轻量级推理技术。我们使用查询语言编码了智能合约的常见漏洞,并使用> 25K智能合约对etherscan的整个数据集进行了SMARTSCOPY评估。我们的实验证明了基于概要的符号评估的好处,并表明SMARTSCOPY在运行时间,精度和稳健性方面优于两个最先进的智能合约分析仪OYENTE和CONTRACTFUZZER。此外,SMARTSCOPY运行在最近流行的智能合约上,揭示了包含最近BatchOverflow漏洞的20个易受攻击的智能合约,并且无法通过现有工具进行精确检测
Scalable and Privacy-preserving Design of On/Off-chain Smart Contracts
University of Pittsburgh
像以太坊这样的智能合约系统的兴起导致了基于区块链的分散式应用程序的激增,包括存储和管理各种数据的应用程序。目前的智能合约旨在由矿工独家执行,并完全在链上展示,导致可扩展性和隐私性降低。在本文中,我们讨论了通过将给定合同分解为脱链合同和链上合同,可以增强智能合约的可扩展性和隐私性。具体而言,涉及高成本计算或敏感信息的合同的功能可以被拆分并作为离线合同包括在内,该合同仅由感兴趣的参与者签署和执行。所提出的方法允许参与者在所有人都诚实的情况下达成一致的脱离协议,允许矿工的计算资源得到保存,并且脱离合同的内容可以向公众隐藏。如果由任何不诚实的参与者引起争议,可以揭示签署的offchain合同副本,以便可以创建经过验证的实例,以使矿工执行真正的执行结果。因此,诚实的参与者有能力纠正和惩罚任何欺诈或不诚实的行为,这激励所有参与者诚实地遵循商定的脱链合同。我们讨论了将合同分成一对开/关链合同的技术,并提出了一种机制来解决处理系统中不诚实参与者的挑战。我们使用智能合约示例实施和评估所提出的方法,证明了所提方法在以太坊中的有效性
A Blockchain-enabled Trustless Crowd-Intelligence Ecosystem on Mobile Edge Computing
Beijing University of Posts and Telecommunications & , Purdue University
IEEE TRANSACTIONS ON INDUSTRIAL INFORMATICS
群体智能试图通过利用人群或分布式计算机的智能来收集,处理,推断和确定大量有用信息,这在工业物联网(IIoT)中具有巨大潜力。群体智能生态系统涉及三个利益相关者,即平台,工作者(例如,个人,传感器或处理器)和任务发布者。利益相关者没有相互信任,只有利益冲突,这意味着他们的合作不好。由于缺乏信任,在发布者和工作者之间传送原始数据(例如,图片或视频剪辑)需要远程平台中心用作中继节点,这意味着网络拥塞。首先,我们使用奖励性模型来调整利益相关者的激励机制。然后,在移动边缘计算网络的许多边缘服务器上使用区块链智能合约来实现预定义规则,其一起用作无信任混合人机智能平台。由于边缘服务器靠近工作人员和发布者,因此可以有效地改善网络拥塞。此外,我们证明了存在唯一一个强纳什均衡,它可以最大化所涉及的边缘服务器的利益并使生态系统更大。理论分析和实验分别验证了该方法的有效性
Smart Contract Vulnerabilities: Does Anyone Care?
Imperial College London
在去年,我们已经看到了智能合约漏洞主题的学术和实际兴趣,特别是那些为以太坊区块链开发的漏洞。 在本文中,我们调研了最近五个学术项目报告的21,270份弱势合同。 与报告的易受伤害合同数量相比可能相信的情况相反,在涉及这些脆弱性时,实际利用的情况很少。 我们发现21,270份合约中最多有504份遭受过攻击。 这相当于最多9,094 ETH(100万美元1),或仅相当于部分论文中声称的300万ETH(3.5亿美元)的0.30%。 虽然我们当然没有暗示智能合约漏洞研究没有任何价值,但我们的结果表明,易受攻击的代码的潜在影响被夸大了。