- 简介随着区块链的日益普及,不同的区块链平台(如以太坊、BNB、EOSIO等)在生态系统中共存,这促使跨链通信的需求增加。跨链桥是一种特定的去中心化应用,用于在不同的区块链平台之间进行资产交换。由于存在许多最近的安全事件,这些事件由桥智能合约中的漏洞引起,我们称之为跨链漏洞(CCV),因此急需保护跨链桥的智能合约。然而,自动识别智能合约中的CCV存在几个独特的挑战。特别是,识别跨桥资产交换所需的应用程序特定访问控制约束是不容易的,同时也难以识别桥两侧之间的不一致的跨链语义。本文提出了SmartAxe,这是一个新的框架,用于识别跨链桥智能合约中的漏洞。具体而言,为了定位存在访问控制不完整的易受攻击的函数,SmartAxe对访问控制的异构实现进行建模,并通过概率模式推断找到智能合约中必要的安全检查。此外,SmartAxe构建了跨链控制流图(xCFG)和数据流图(xDFG),有助于在跨链数据通信期间发现语义不一致。为了评估SmartAxe,我们收集并标记了88个来自真实攻击的跨链桥合约中的CCV数据集。评估结果显示,SmartAxe实现了84.95%的精确度和89.77%的召回率。此外,SmartAxe成功地从129个真实世界的跨链桥应用程序(即从1,703个智能合约中)识别了232个新的/未知的CCV。这些已识别的CCV影响了总价值为1,885,250美元的数字资产。
- 图表
- 解决问题本论文试图解决跨链桥智能合约中的漏洞问题,以及验证SmartAxe框架的有效性。
- 关键思路SmartAxe框架通过概率模式推断来定位访问控制不完整的漏洞函数,并构建跨链控制流图和数据流图来检测跨链语义不一致性。
- 其它亮点论文使用88个真实攻击跨链桥智能合约的数据集进行评估,并成功识别了232个新的跨链漏洞,影响了价值1885250美元的数字资产。
- 相关研究包括基于符号执行和静态分析的智能合约漏洞检测方法,以及其他跨链桥智能合约的安全研究,如Cross-Chain Communication Protocol和ChainBridge。
沙发等你来抢
去评论
评论
沙发等你来抢