[发明专利]一种跨文件智能合约可重入漏洞防御方法及装置有效
| 申请号: | 201910876109.4 | 申请日: | 2019-09-17 |
| 公开(公告)号: | CN110598420B | 公开(公告)日: | 2022-03-01 |
| 发明(设计)人: | 王忠儒;余伟强;蒋劭捷 | 申请(专利权)人: | 北京丁牛科技有限公司 |
| 主分类号: | G06F21/57 | 分类号: | G06F21/57;G06F21/62 |
| 代理公司: | 北京集佳知识产权代理有限公司 11227 | 代理人: | 潘颖 |
| 地址: | 100081 北京市海淀区中关村*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 文件 智能 合约 可重入 漏洞 防御 方法 装置 | ||
本发明公开了一种跨文件智能合约可重入漏洞防御方法,包括:当所述待检测智能合约进入到采用预设方法确定的敏感区时,对所述敏感区的敏感变量进行加锁,其中,所述敏感区中包含可被不同代码文件中函数读写的敏感变量;当所述待检测智能合约离开所述敏感区时,对所述敏感变量进行解锁处理。上述的防御方法,当所述待检测智能合约进入到所述敏感区时,对所述敏感变量进行加锁,防止其它的智能合约文件对所述敏感变量进行篡改,所述待检测智能合约离开所述敏感区时,对所述敏感变量进行解锁处理,执行其它的非敏感区业务,实现了对所述待检测智能合约可重入漏洞的防御。
技术领域
本发明涉及计算机安全技术领域,尤其涉及一种跨文件智能合约可重入漏洞防御方法及装置。
背景技术
区块链采用的智能合约是开发人员编写的脚本代码,由于开发人员编写代码不严谨,导致智能合约出现漏洞,可重入漏洞就是其中一种常见的智能合约漏洞,在区块链中由于可重入性漏洞可以跨多个智能合约发生,经常被攻击者利用。
以提现过程为例,若智能合约中存在可重入漏洞,代码的执行逻辑为在函数的第一次调用结束之前,会重复调用该函数,直到用户的余额变为0。由于用户的余额直到函数结束时才设置为0,因此第二次及以后的函数调用仍将成功,并将一次又一次地对用户余额提现。
因此,亟需提供一种跨文件智能合约可重入漏洞防御方法,来防御智能合约中的可重入漏洞。
发明内容
有鉴于此,本发明提供了一种跨文件智能合约可重入漏洞防御方法及装置,用来防御智能合约中的可重入漏洞,具体方案如下:
一种跨文件智能合约可重入漏洞防御方法,包括:
当所述待检测智能合约进入到采用预设方法确定的敏感区时,对所述敏感区的敏感变量进行加锁,其中,所述敏感区中包含可被不同代码文件中函数读写的敏感变量;
当所述待检测智能合约离开所述敏感区时,对所述敏感变量进行解锁处理。
上述的方法,可选的,采用预设方法确定的敏感区,包括:
获取待检测智能合约中的敏感函数;
当所述敏感函数存在跨代码文件函数调用序列时,识别所述敏感函数中的敏感变量;
依据所述敏感变量在所述待检测智能合约中位置,确定所述敏感区。
上述的方法,可选的,还包括:
对所述敏感函数在所述待检测智能合约中的位置进行标记。
上述的方法,可选的,获取待检测智能合约中的敏感函数,包括:
依据所述待检测智能合约中的函数和变量,提取并标记所述待检测智能合约中的函数调用序列;
将所述函数调用序列中函数与预设的敏感函数规则库进行匹配,识别所述函数调用序列中的敏感函数。
上述的方法,可选的,还包括:
为所述待检测智能合约设置解除互锁的安全策略,避免所述待检测智能合约在所述敏感区内执行死循环。
一种跨文件智能合约可重入漏洞防御装置,包括:
加锁模块,用于当所述待检测智能合约进入到采用预设方法确定的敏感区时,对所述敏感区的敏感变量进行加锁,其中,所述敏感区中包含可被不同代码文件中函数读写的敏感变量;
解锁模块,用于当所述待检测智能合约离开所述敏感区时,对所述敏感变量进行解锁处理。
上述的装置,可选的,所述加锁模块包括:
获取单元,用于获取待检测智能合约中的敏感函数;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京丁牛科技有限公司,未经北京丁牛科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910876109.4/2.html,转载请声明来源钻瓜专利网。
