智能合约是区块链生态环境的根基,以太坊区别于比特币的最显著特性就是支持"智能合约",也正因为这种特性使其可承载DeFi、NFT等上层应用,因此保障智能合约安全至关重要.然而,近年来兴起的智能合约蜜罐(Smart Contract Honeypot,以下简称合约蜜罐)已对以太坊生态环境造成显著污染,其具有的检测延迟大、攻击时效长、变形方法多等特点,使其成为有别于以太坊其他攻击形式的新形态威胁.为了准确、及时的检测未知合约蜜罐,本文首先研究了合约蜜罐机理,分析了现有检测方法不足.在此基础上,本文提炼了合约蜜罐的攻击模型,将其完整的攻击过程概括为"构建、编译、投递、部署、传播、诱导、锁定与收割"八个步骤.围绕"诱导"与"锁定"技术上的关键区别,本文对已知的10个蜜罐家族进行了细粒度的基因特征挖掘,首次构建了蜜罐家谱.以蜜罐家谱为指导,本文提出了一种跨家族的各项异性合约蜜罐检测方法,实现了一个不依赖机器学习的自动化检测工具—CADetector.CADetector通过检测范围界定、动态路径规划与基于启发式的各项异性特性匹配实现了对合约蜜罐的精准检测.本文基于benchmark数据集和XGBoost数据集进行了对比实验,实验结果表明CADetector实现了更高的检测召回率和精准率(93.5％～100％),超越了当前最先进的两个合约蜜罐检测工具HONEYBADGER和XGBoost,它们的精准率和召回率分别为87.3％和91.2％,凸显了CADetector集成的基因特征提取方法对合约蜜罐检测具有重要的影响.除此之外,本文基于自爬取数据集(200万个区块上的125988个未知智能合约)进行了0day合约蜜罐检测实验,新发现了高达450个0day合约蜜罐,进一步量化验证了CADetector的有效性和鲁棒性.值得一提的是,0day合约蜜罐检测实验涵盖了本文通过蜜罐家谱划分的21种围绕合约蜜罐的攻击方法,其中有3种新型的合约蜜罐攻击方法由本文首次提出.最后,本文从面向以太坊的污染现状、攻击技术、检测层面和增强实现四个维度进行了深层次的数据分析,并发现合约蜜罐仍呈现缓慢上升的趋势、隐藏状态更新技术一直是攻击者偏爱的技术且偏爱程度持续升高.对此,本文建议防御者可及时关注合约蜜罐的发展趋势、攻击者相关的以太坊地址、IP地址来源等威胁情报,进而助力区块链安全社区的情报共享和态势感知.

智能合约蜜罐;各项异性;攻击机理;蜜罐家谱;蜜罐画像

冀甜甜;方滨兴;崔翔;王忠儒;廖鹏;杜春来;宋首友

可信分布式计算与服务教育部重点实验室(北京邮电大学) 北京 100876;广州大学网络空间先进技术研究院 广州 510006;中国网络空间研究院 北京 100010;北方工业大学信息学院 北京 100144;北京丁牛科技有限公司 北京 100081;丁牛信息安全科技(江苏)有限公司 江苏 南通 226014

计算机学报

[1]冀甜甜;方滨兴;崔翔;王忠儒;廖鹏;杜春来;宋首友-.CADetector:跨家族的各项异性合约蜜罐检测)[J].计算机学报,2022(04):877-895

CADetector,智能合约蜜罐,Honeypot,蜜罐家谱,HONEYBADGER,以太坊地址,蜜罐画像

各项异性,比特币,DeFi,NFT,Smart,Contract,已对,有别于,先研,攻击模型,编译,投递,收割,八个,关键区,细粒度,基因特征,特征挖掘,不依,自动化检测,检测工具,检测范围,范围界定,动态路径规划,启发式,精准检测,benchmark,XGBoost,召回率,最先,除此之外,爬取,万个,0day,新发现,量化验证,值得一提的是,谱划分,攻击方法,污染现状,攻击技术,检测层,状态更新,攻击者,偏爱,防御者,威胁情报,区块链安全,情报共享,态势感知,攻击机理

0.242552