[发明专利]一种基于Fuzz的智能合约漏洞检测方法、装置和存储介质

权利要求书

1.一种基于Fuzz的智能合约漏洞检测方法，其特征在于，包括：

根据智能合约代码构建抽象语法树，并通过所述抽象语法树提取函数变量及其变量类型；

根据所述函数变量及其变量类型，生成Fuzz测试数据集；其中，所述Fuzz测试数据集为一包含所有所述变量类型的数据集；

将所述Fuzz测试数据集中的适配Fuzz测试数据逐一作为所述智能合约代码的输入变量，驱动所述智能合约代码运行，并对所述智能合约代码的输出变量进行监测，若所述输出变量出现异常则判定存在漏洞；其中，所述适配Fuzz测试数据为所述Fuzz测试数据集中与所述输入变量的变量类型相同的所有所述Fuzz测试数据。

2.根据权利要求1所述的基于Fuzz的智能合约漏洞检测方法，其特征在于，还包括：

若存在漏洞，则对所述智能合约代码进行漏洞匹配，得到漏洞匹配结果；

根据所述漏洞匹配结果，在所述智能合约代码中抽取关联代码进行漏洞验证，得到漏洞验证结果；

根据所述漏洞匹配结果和所述漏洞验证结果，生成漏洞检测报告。

3.根据权利要求2所述的基于Fuzz的智能合约漏洞检测方法，其特征在于，所述漏洞匹配结果，包括根据所述输入变量和所述输出变量与漏洞模型进行匹配所得的漏洞类型；其中，漏洞模型是根据漏洞类型抽象所得的漏洞模型。

4.根据权利要求3所述的基于Fuzz的智能合约漏洞检测方法，其特征在于，所述漏洞类型包括可重入性和竞争条件攻击、整数溢出、越权访问、拒绝服务、逻辑错误、信息泄露和函数误用其中一种或多种组合。

5.根据权利要求2所述的基于Fuzz的智能合约漏洞检测方法，其特征在于，所述漏洞匹配结果，包括：

在所述智能合约代码中定位与所述漏洞模型匹配的所述关联代码；其中，所述关联代码包含所述输入变量和所述输出变量。

6.根据权利要求2所述的基于Fuzz的智能合约漏洞检测方法，其特征在于，所述根据所述漏洞匹配结果，抽取关联代码进行漏洞验证，得到漏洞验证结果，具体的，

根据所述漏洞匹配结果，在所述智能合约代码中抽取所述关联代码；

将所述Fuzz测试数据集中的适配Fuzz测试数据逐一作为所述关联代码的输入变量，驱动所述关联代码运行，并对所述关联代码的输出变量进行监测；

根据所述输入变量、所述输出变量和漏洞模型，对所述漏洞匹配结果进行漏洞验证，得到漏洞验证结果；其中，漏洞模型是根据漏洞类型抽象所得的漏洞模型。

7.根据权利要求2所述的基于Fuzz的智能合约漏洞检测方法，其特征在于，所述根据所述漏洞匹配结果和所述漏洞验证结果，生成漏洞检测报告，具体的，

根据所述漏洞匹配结果和所述漏洞验证结果，判断是否存在漏洞；

若存在漏洞，则将漏洞文件所在路径、代码片段和漏洞类型存储至数据库，并生成漏洞检测报告；或者，若不存在漏洞，则发送安全提示，将所述漏洞匹配结果和所述漏洞验证结果存储至数据库，并生成漏洞检测报告。

8.一种基于Fuzz的智能合约漏洞检测装置，其特征在于，包括：

代码预处理模块，用于根据智能合约代码构建抽象语法树，并通过所述抽象语法树提取函数变量及其变量类型；

数据生成模块，用于根据所述函数变量及其变量类型，生成Fuzz测试数据集；其中，所述Fuzz测试数据集为一包含所有所述变量类型的数据集；

代码驱动模块，用于将所述Fuzz测试数据集中的适配Fuzz测试数据逐一作为所述智能合约代码的输入变量，驱动所述智能合约代码运行，并对所述智能合约代码的输出变量进行监测，若所述输出变量出现异常则判定存在漏洞；其中，所述适配Fuzz测试数据为所述Fuzz测试数据集中与所述输入变量的变量类型相同的所有所述Fuzz测试数据。