上海网站开发定制,logo一键生成器免费版原型图,如何加速wordpress反应速度,如何把广告发到网上美国当地时间7月17日#xff0c;软件工程领域顶级会议ISSTA 2023在西雅图正式召开。ISSTA #xff08;The 32nd ACM SIGSOFT International Symposium on Software Testing and Analysis #xff09;是软件测试与分析方面最著名的国际会议之一#xff0c;也是中国计算机学会…美国当地时间7月17日软件工程领域顶级会议ISSTA 2023在西雅图正式召开。ISSTA The 32nd ACM SIGSOFT International Symposium on Software Testing and Analysis 是软件测试与分析方面最著名的国际会议之一也是中国计算机学会推荐的A类国际学术会议CCF-A。在本次会议中中山大学软件工程学院与微众银行联合发表了区块链最新研究成果该研究针对智能合约中的状态不一致所导致的逻辑漏洞提出了一种新型模糊测试框架。
参与本次研究的成员包括中山大学博士生叶铭熙、硕士生吴东鹏指导教师为中山大学教授郑子彬、副教授南雨宏以及微众银行区块链底层平台研发负责人李辉忠。该研究同时得到了国家重点研发计划、国家自然科学基金及微众学者计划等项目的支持。
其中微众学者计划是由微众银行发起成立的高标准、高规格的创新研究项目以金融业务实际需求及未来技术发展方向为依托旨在通过与高校实干型优秀青年学者合作储备学术界及企业科研力量聚焦实际产业痛点问题在真实商业场景中进行科研实践。郑子彬教授凭借在区块链领域的卓越研究及杰出贡献入选首批微众学者计划承担区块链方向课题基于FISCO BCOS开源区块链底层平台的智能合约场景构建易于使用的智能合约一致性验证及高效的安全性验证平台。
研究介绍
近年来区块链技术快速发展智能合约作为一种新型基础软件被广泛应用在金融、艺术品以及游戏等领域。目前每天有数万名用户使用智能合约日均交易量可达50亿美元。
然而区别于传统领域中的程序漏洞检测智能合约中的漏洞通常是更难检测的逻辑错误及缺陷且所导致的后果更加严重。在状态不一致漏洞中攻击者通过操纵区块链上智能合约的程序状态使得程序的执行结果与用户的预期结果产生不一致。通过利用这一类漏洞攻击者可以抢跑或影响程序的执行流从而影响程序的正常执行并从中获得不正当的收益。
现有状态不一致漏洞检测方案主要面临两个问题1由于缺少准确的上下文信息导致的高误报率。由于无法准确地恢复智能合约运行过程中的上下文信息静态分析方法可能引入无法执行的程序路径导致误报2由于缺少有效的测试准则导致的高漏报率。现有模糊测试方法需要依赖专家知识设计测试准则高度依赖现有的攻击模式导致无法识别新的攻击手段。 因此中山大学软件工程学院与微众银行开展联合研究提出了一种新型模糊测试框架IcyChecker并以 “Detecting State Inconsistency Bugs in DApps via On-Chain Transaction Replay and Fuzzing” 为题在ISSTA 2023发表。
针对上述问题IcyChecker首先通过重放历史数据获取历史函数调用以及对应的细粒度上下文信息。随后IcyChecker基于收集的历史信息进行模糊测试生成新的函数调用序列触发程序漏洞。最后IcyChecker通过差分分析识别对等交易序列执行结果的不一致性从而发现漏洞。
基于链上历史数据收集丰富的上下文信息IcyChecker检测的准确率提高到80%以上。研究首次引入差分分析技术识别智能合约中的逻辑漏洞实现了无需依赖专家知识的漏洞检测。
