[发明专利]一种漏洞检测方法、装置及电子设备

说明书

本发明提供了一种漏洞检测方法、装置及电子设备，获取待检测的智能合约，识别所述智能合约中的函数调用关系，依据所述函数调用关系，确定所述智能合约中是否可能存在可重入漏洞，若存在所述可重入漏洞，对所述可重入漏洞进行修复。即通过本发明，可以自动检测和修复可重入漏洞，避免可重入漏洞带来的后续影响。

技术领域

本发明涉及漏洞检测领域，更具体的说，涉及一种漏洞检测方法、装置及电子设备。

背景技术

近年来，随着比特币的兴起，区块链去中心化技术逐渐得到大家的重视并广泛应用。区块链起源于比特币，作为比特币的底层技术，本质上是一个去中心化的数据库，通过去中心化和去信任的方式集体维护一个可靠数据库的技术方案。在无法建立信任关系的互联网上，无需借助任何第三方中心的介入就可以使参与者达成共识，以极低的成本解决了信任与价值的可靠传递难题。任何人都可对这个账本进行核查，但不存在单一的用户可以对它控制。

区块链采用的智能合约是开发人员去编写的脚本代码，因为缺乏有效的漏洞检测模型，导致容易出现智能合约漏洞，可重入漏洞就是其中一种常见的智能合约漏洞。可重入性问题在被编写到智能合约中的区块链安全漏洞中排在极高的位置。可重入性通过对同一事务的多个支出来消耗一个账户。处理退款的用例适合这种利用，但是如果不在设计和编码阶段检测并修复可重入漏洞，这种缺陷就会影响到所有事务。

发明内容

有鉴于此，本发明提供一种漏洞检测方法、装置及电子设备，以解决亟需检测并修复区块链的智能合约中可重入漏洞的问题。

为解决上述技术问题，本发明采用了如下技术方案：

一种漏洞检测方法，包括：

获取待检测的智能合约；

识别所述智能合约中的函数调用关系；

依据所述函数调用关系，确定所述智能合约中是否可能存在可重入漏洞；

若存在所述可重入漏洞，对所述可重入漏洞进行修复。

优选地，依据所述函数调用关系，确定所述智能合约中是否可能存在可重入漏洞，包括：

依据所述函数调用关系，确定所述智能合约中是否存在敏感函数；

若存在敏感函数，确定所述敏感函数是否跨函数；

若不跨函数，则确定可能存在单一函数可重入漏洞；

若跨函数，则确定可能存在跨函数可重入漏洞。

优选地，对所述可重入漏洞进行修复，包括：

若可能存在所述单一函数可重入漏洞，识别所述敏感函数中是否存在预设调用函数；

若存在，则将所述预设调用函数替换为与所述预设调用函数功能等同的目标函数；

若可能存在所述跨函数可重入漏洞，确定出包括所述敏感函数的函数调用序列；

从所述函数调用序列中识别出是否存在预设调用函数；

若存在，则将所述预设调用函数替换为与所述预设调用函数功能等同的目标函数。

优选地，对所述可重入漏洞进行修复，还包括：

若识别出所述敏感函数或所述函数调用序列中存在预设调用函数，判断所述预设调用函数是否可被替换；

若可被替换，执行将所述预设调用函数替换为与所述预设调用函数功能等同的目标函数；

若不可被替换，修改所述函数调用关系以及在所述智能合约中插入不安全标识。

一种漏洞检测装置，包括：