[发明专利]一种针对智能合约中庞氏骗局的漏洞检测方法及系统

说明书

本发明公开了一种针对智能合约中庞氏骗局的漏洞检测方法及系统，本发明首先根据目标智能合约的字节码，提取它的控制流图和数据流图。然后结合庞氏骗局的特点，其在智能合约中的代码表现包括资金注入、合约转账、分红等操作，在字节码中指令中主要涉及CALL和CALLVALUE指令等，以此总结庞氏骗局合约特征，然后以此构造数据流和控制流约束，最后利用约束求解器对其求解，判断目标合约是否具有庞氏骗局特征，以警醒后续用户调用合约，避免该合约对后续调用者造成金融损失。

技术领域

本发明属于区块链信息安全技术领域，设计一种智能合约的漏洞检测方法及系统，具体涉及一种针对智能合约中庞氏骗局的漏洞检测方法及系统。

背景技术

区块链是一种通过分布式共识机制维护的不断增长的点对点网络价值转移交易记录清单。作为比特币的重要组成部分，区块链技术具有匿名性和不可否认性，这使得不依赖权威的第三方的情况下，匿名参与者之间的价值转移成为可能。作为学术界和产业界的热点，区块链技术通常被称为下一代互联网。智能合约是区块链技术的一种应用，是相互不信任的参与者之间的计算机协议，当满足预设条件时会自动在区块链上强制执行。支持智能合约的区块链平台被认为是第二代区块链。

任何新技术都容易被诈骗利用。区块链作为一项新兴技术，由于缺乏监管，能够保证所有数据公开透明且不可更改，引来不少骗局，其中较为著名的就是庞氏骗局，据统计庞氏骗局。庞氏骗局是一种源于100年前的臭名昭著的以欺诈者命名的经典投资欺诈行为。操作者以新投资者支付的资金而非合法的商业活动或金融交易的收入作为老投资者的回报。许多参与者，尤其是后参与的，注定要损失大部分投资资金。在区块链领域，庞氏骗局的获利目标是那些想参与区块链技术但不了解其工作原理的人群。据统计，2019年区块链中庞氏骗局获利资金高达39亿美元，在中国地区获利至少20亿美元，其中以太坊庞氏智能合约庞氏骗局的占比不可忽视。检测并识别以太坊中的智能合约庞氏骗局具有社会意义。

智能合约是一套旨在验证和执行合同的计算机协议，本质上是运行在以太坊平台上的一段程序。它一旦被部署上链之后，具有不可篡改性和账户匿名性。由于它的这两大特性，导致其中存在不少金融安全威胁，其中较为著名的就是庞氏骗局。庞氏骗局是一种金融欺诈，它以高回报率吸引投资者，以靠后投资者的投资资金来回报之前投资者的盈利。现实中的庞氏骗局的发布者也需要承担骗局败露的风险，但是智能合约的账户匿名性为他们提供了更好的机会。如今，许多庞氏骗局隐藏在智能合约的外表下。因此，针对智能合约中庞氏骗局的漏洞检测工作显得尤为重要。

庞氏骗局是对金融领域投资诈骗的称呼，是金字塔骗局的始祖。操作者向一个事实上子虚乌有的企业投资，许诺投资者将在三个月内得到40%的利润回报，然后，将新加入的投资者的资金作为快速盈利付给最初投资的人，营造成确有其事的假象，以诱使更多的人上当。而智能合约中庞氏骗局之所以能造成更大金融风险，根据智能合约的特性，可以归纳为以下两个原因：

（1）智能合约的匿名性让庞氏骗局的始作俑者以匿名的身份创建合约并提取资金，而无需透露任何社会身份信息。这让监管部门难以追查庞氏骗局的源头。

（2）智能合约具有不可篡改性。合约代码一经部署，就不可更改。如果智能合约中隐藏了庞氏骗局而不被用户察觉的话，一旦触发漏洞，则不可避免地会造成金融损失。

因此，在智能合约中，亟需一种更为完善的针对智能合约中庞氏骗局的漏洞检测方案，保护普通用户的资金财产安全。

目前检测庞氏骗局的方法主要是基于深度神经网络的漏洞检测方案。

2017年Bartoletti等人系统分析了当时以太坊中的大部分智能合约。他们建立了一套判断庞氏骗局的标准，总结了如下的四个条件：

（1）合约根据某种逻辑分配回报给投资者，即骗局从新投资者投入的资金中向现有投资者支付所谓的回报；

（2）合约收入只来自于投资者，即现有投资者的回报只可能来自于新投资者；