A Runtime Information Based Defense Technique for Ethereum Smart Contract
-
摘要: 智能合约是区块链技术最成功的应用之一,已经被广泛集成到应用程序中,成为应用去中心化的常见实现方案.然而,智能合约由于其独有的金融特性,一直以来饱受安全攻击,各种新的恶意攻击类型层出不穷.现有的研究工作提出了多种有效检测合约漏洞的方法,但在实际应用中都存在着各种局限:仅针对已知的漏洞类型,需要修改合约代码来消除漏洞,链上开销过大.由于智能合约部署到链上后的不可修改性,这些针对特定漏洞类型的检测防御手段无法对原有的合约进行修复,因此很难及时地应对新型的漏洞和攻击.为此,提出了一种基于运行时信息的智能合约可升级防御技术,通过引入运行时的各种信息,为链下对攻击和漏洞的检测提供实时的数据.同时,设计了一套部署在合约上的访问控制机制,基于动态检测的结果,对合约的访问进行限制,从而在不需要修改合约代码的情况下实现动态的防御.由于以太坊本身的机制无法对实时攻击进行识别和拦截,为了减小这一影响,利用竞争(race condition)的机制来增强防御的效果.实验结果分析表明:该防御技术可以有效地检测并防御攻击,对于后续的攻击交易,可以实现100%的拦截成功率,对于首次检测到的实时攻击,利用竞争可以达到97.5%的成功率.Abstract: As one of the most successful applications of blockchain technology, Ethereum smart contract has been widely integrated into programs and become a common implementation scheme for decentralized applications. However, smart contract suffers from security attacks since born because of its unique financial characteristics, and fresh attack forms continue to dribble out. State-of-art research works have proposed many effective mechanisms to detect vulnerabilities in smart contract, but they all have limitations in practical, such as design only for known vulnerabilities, need to modify the contract code, and the cost on-chain is too high. Because of the immutability of smart contract, these defense techniques which aim at specific vulnerabilities cannot fix the original contract, and as a result, they can hardly work on the new attack forms. To this end, we present a runtime information based upgradable defense system for Ethereum smart contract, which provides real-time data for the off-chain attack detection by collecting kinds of runtime information. At the same time, we design an access control mechanism deployed on smart contract, which restricts the access to the contract based on the dynamic detection result, so that we can secure the contract without modifying the code. Ethereum does not provide a mechanism to recognize and intercept real-time attack transactions, So we make use of race condition to enhance the defense on the real-time attack. The evaluation results show that out defense technology is extremely effective to prevent attacks, which can achieve 100% success rate for the follow-up attacks and achieve 97.5% success rate for the first attack detected by the use of race condition.
-
Keywords:
- blockchain /
- Ethereum /
- smart contract /
- attack and defense /
- access control
-
-
期刊类型引用(38)
1. 曾运强. 基于宽带网络信息安全规划的备案隔离管理系统研究. 自动化技术与应用. 2024(01): 103-107 . 
百度学术
2. 史慧,石桓印,郭晨禧. 信息化时代局域网运维管理探究. 三晋基层治理. 2024(01): 98-101 . 百度学术
3. 柏松,王晓勇,胡胜利. 基于区块链和代理重加密的医疗物联网数据安全管理系统. 中国计量大学学报. 2024(01): 80-88 . 百度学术
4. 杨小东,陈艾佳,汪志松,廖泽帆,王彩芬. 基于区块链的多授权密文策略属性基等值测试加密方案. 电子学报. 2024(03): 898-908 . 百度学术
5. 王明龙. 基于多属性同态加密的医院电子档案信息安全防护算法. 电脑知识与技术. 2024(34): 80-82 . 百度学术
6. 张志强,朱友文,王箭,张玉书. 基于内积谓词的属性基隐私保护加密方案. 电子与信息学报. 2023(03): 828-835 . 百度学术
7. 王皓然,付鋆,刘俊荣. 多级访问安全下电网综合运维信息加密共享. 信息技术. 2023(08): 88-93 . 百度学术
8. 张学旺,姚亚宁,付佳丽,谢昊飞. 策略隐藏的高效多授权机构CP-ABE物联网数据共享方案. 计算机研究与发展. 2023(10): 2193-2202 . 本站查看
9. 崔蕾,周湘贞,王枚. 基于区块链和雾计算的IoT轻量级身份验证和访问控制. 贵阳学院学报(自然科学版). 2023(03): 33-39 . 百度学术
10. 赵小凡,李情. 基于元数据管理的半结构化数据安全转换方法. 自动化仪表. 2022(03): 65-68+74 . 百度学术
11. 陈丽莎,李雪莲,高军涛. 支持数据完整性验证的可问责数据交易方案. 系统工程与电子技术. 2022(04): 1364-1371 . 百度学术
12. 万磊. 面向泛在感知网络数据中台的属性加密机制与应用. 信息安全研究. 2022(04): 351-356 . 百度学术
13. 陈迪荣,包晓安,杜鹏,胡逸飞,苏鸿斌. 基于BSDiff的改进远程增量更新方案. 电子科技. 2022(07): 52-57 . 百度学术
14. 李莉,陈云鹏,杨祉坤,吴怡. 个人健康记录中隐私数据分层访问控制方法. 计算机仿真. 2022(08): 398-402 . 百度学术
15. 梁盈威,杨秋勇,谢瀚阳. 物联网环境下数据开放性共享安全保障体系. 微型电脑应用. 2022(09): 194-197 . 百度学术
16. 李琳. 基于区块链的可验证外包解密属性基加密方案. 郑州航空工业管理学院学报. 2022(05): 86-91+107 . 百度学术
17. 杨青,于大为. 考虑用户隐私保护范围的物联网海量混合数据查询方法. 物联网技术. 2022(11): 69-73 . 百度学术
18. 李慧. 基于配电物联网的通信组网及数据处理技术研究. 自动化技术与应用. 2022(12): 112-115+119 . 百度学术
19. 李浩光. 基于同态映射的密钥协商协议加密系统设计. 电子设计工程. 2021(02): 38-42 . 百度学术
20. 王学周. 多跳网络中多通道敏感数据全同态加密方法研究. 内蒙古民族大学学报(自然科学版). 2021(01): 25-30 . 百度学术
21. 陈宏君,蒋建军. 基于光通信技术的物联网数据加密技术研究. 激光杂志. 2021(05): 116-119 . 百度学术
22. 蔡志锋,陈伟. 关于大规模物联网的多变量公钥安全传输研究. 计算机仿真. 2021(06): 109-112+267 . 百度学术
23. 胡绍方,陈闯闯. 基于属性加密的网间数据安全交换技术优化. 网络安全技术与应用. 2021(09): 27-29 . 百度学术
24. 陶永才,李哲,石磊,卫琳,杨淑博. 一种可信的车联网区块链数据共享模型. 小型微型计算机系统. 2021(10): 2131-2139 . 百度学术
25. 米红波. 基于双重触发的嵌入式内核安全访问控制仿真. 计算机仿真. 2021(11): 445-449 . 百度学术
26. 马浩. 数据加密技术在计算机网络安全中的应用. 信息技术与信息化. 2020(01): 124-126 . 百度学术
27. 贾瑞龙,曹亚州,苗俊青,赵沛. 基于改进CP-ABE模型的医疗数据隐私保护管理设计与应用. 计算机测量与控制. 2020(01): 200-204+209 . 百度学术
28. 张倩. 船用物联网的网络安全问题研究. 舰船科学技术. 2020(04): 208-210 . 百度学术
29. 周显春. 舰船信息共享网络隐私数据防篡改方法. 舰船科学技术. 2020(08): 121-123 . 百度学术
30. 陈力,臧笑宇,黄锋涛. 数据篡改攻击下配电网数据传输加密研究. 信息技术. 2020(06): 56-59 . 百度学术
31. 刘艳,陈滢生. 基于物联网的智慧教室设计方案评价研究. 现代电子技术. 2020(19): 163-166 . 百度学术
32. 史西兵. 云信任驱动的物联网信息共享安全机制仿真. 计算机仿真. 2020(09): 140-144 . 百度学术
33. 侯晓磊. 物联网环境下远程舰船通信网络数据安全存储方法. 舰船科学技术. 2020(12): 151-153 . 百度学术
34. 赵勃. 基于匿名区域构造的物联网隐私安全保护模型及仿真. 自动化与仪器仪表. 2020(10): 51-54+58 . 百度学术
35. 鲍海燕,芦彩林. 基于改进RSA算法的隐私数据集同态加密方法. 太赫兹科学与电子信息学报. 2020(05): 929-933 . 百度学术
36. 刘俊勇,潘力,何迈. 能源物联网及其关键技术. 物联网学报. 2020(04): 9-16 . 百度学术
37. 林木. 企业数据仓库平台的技术架构研究与设计. 软件. 2020(12): 175-179 . 百度学术
38. 李文迪,陈华伟,伍权,徐卫平. 设备上云技术研究现状与展望. 机床与液压. 2020(15): 194-198 . 百度学术
其他类型引用(28)
计量
- 文章访问数: 766
- HTML全文浏览量: 4
- PDF下载量: 462
- 被引次数: 66
下载:
