區(qū)塊鏈去中心化平臺與代幣的轉(zhuǎn)賬信息不一致問題的發(fā)掘與檢測

蘇 洲

（西安交通大學網(wǎng)絡空間安全學院 西安 710049）

隨著區(qū)塊鏈去中心化平臺的經(jīng)濟體量逐年攀高，對區(qū)塊鏈去中心化平臺和區(qū)塊鏈代幣的代碼審查已經(jīng)愈加趨于嚴謹，出現(xiàn)了大量基于去中心化平臺或代幣的研究. 然而，鮮有針對去中心化平臺和代幣的交互問題進行研究，尤其是代幣的實際轉(zhuǎn)移與去中心化平臺所期望的轉(zhuǎn)移被默認為一致. 根據(jù)可見的攻擊實例，這一類交互問題實際上大量存在且造成了巨大的經(jīng)濟損失. 文章將該類交互問題總結為“去中心化平臺預期代幣轉(zhuǎn)移與代幣本身的轉(zhuǎn)移之間的不一致問題”. 針對這樣一個長久以來被忽視的安全問題基本處于黑盒的狀態(tài)，這篇文章對該問題進行了研究，提出了有效的檢測方法以及對結果進行了剖析.

1. 該論文通過研究去中心化平臺的合約中記錄代幣轉(zhuǎn)移信息的數(shù)據(jù)結構、該數(shù)據(jù)結構改變量和代幣合約中的數(shù)據(jù)結構改變量之間的關系來探索未發(fā)現(xiàn)的安全問題或財產(chǎn)風險，探究了合約攻擊的可能性和隱藏的漏洞.

2. 該論文提出了一種自動化方法，針對區(qū)塊鏈去中心化平臺與代幣間存在的不一致問題進行深入研究. 通過這一方法，作者成功開發(fā)了一個名為DEALS 的工具. DEALS 不僅具備自動化特性，而且具有出色的性能和準確度，專門針對轉(zhuǎn)賬信息的潛在問題進行監(jiān)測和分析，結合了智能合約的靜態(tài)和動態(tài)分析技術，從而確保對轉(zhuǎn)賬信息問題全面和深入地檢測.

3. 該工作梳理了為去中心化平臺提供核心功能的函數(shù)，這些函數(shù)是去中心化平臺運作的基石. 作者分析了去中心化平臺的記賬模式并從中總結了3 種去中心化平臺常用于存儲代幣轉(zhuǎn)賬信息的數(shù)據(jù)結構類型，揭示了去中心化平臺存儲轉(zhuǎn)賬信息的本質(zhì).

4. 該論文使用DEALS 工具對多個主流的去中心化平臺和代幣合約進行了深入的實驗檢測.這些實驗的目標是識別實際運營環(huán)境中存在的不一致問題，驗證DEALS 工具的準確性和有效性，并發(fā)現(xiàn)了大量去中心化平臺與代幣的轉(zhuǎn)賬信息存在問題的交易，為區(qū)塊鏈安全領域提供了大量可供研究的對象和數(shù)據(jù).

5. 該論文揭示了10 類導致不一致問題的原因，每一種原因不僅都得到了詳細的描述，而且對原因都進行了深入的解析，從而揭示了其中的根本性機制和可能導致的后果.

該論文的工作讓區(qū)塊鏈去中心化平臺與代幣之間的交互更加透明可信，使區(qū)塊鏈安全的可解釋性得到了進一步的提升，因此在區(qū)塊鏈領域具備可喜的科學價值. 我相信該項研究方向具備繼續(xù)深入研究的科學價值，并期待它在區(qū)塊鏈安全領域帶來更多的創(chuàng)新與突破.

評述專家

蘇洲，西安交通大學網(wǎng)絡空間安全學院教授.主要研究方向包括通信網(wǎng)絡安全、物聯(lián)網(wǎng)安全、信息物理融合系統(tǒng)安全等.

亮點論文

姜人楷，宋書瑋，羅夏樸，陳廳，羅瑞杰，王炳森，喬翱.DEALS——追蹤代幣轉(zhuǎn)賬信息不一致[J]. 計算機研究與發(fā)展，2024，61（2）：274?288. DOI: 10.7544/issn1000-1239.202330613