SCG-Detector:基于图注意力网络的智能合约漏洞检测方法

作     者：顾锡国 王志伟 陈翔 何启帆 崔展齐 GU Xi-guo;WANG Zhi-wei;CHEN Xiang;HE Qi-fan;CUI Zhan-qi

作者机构：北京信息科技大学计算机学院北京100101 国家网信办数据与技术保障中心北京100048 南通大学信息科学技术学院江苏南通226019 

出 版 物：《电子学报》 (Acta Electronica Sinica)

年 卷 期：2024年第52卷第12期

页      面：4101-4112页

核心收录：

学科分类：08[工学] 0835[工学-软件工程] 081202[工学-计算机软件与理论] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：江苏省前沿引领技术基础研究专项(No.BK20202001) 国家自然科学基金(No.61702041) 北京控制工程研究所高可信嵌入式软件工程技术实验室开放基金(No.LHCESET202307) 北京信息科技大学“勤信人才”培育计划(No.QXTCP B202406) 

主　　题：智能合约 图注意力网络 合约图 抽象语法树 数据依赖关系 控制依赖关系 

摘      要：随着智能合约被广泛使用,其处理的业务逻辑更加复杂,代码复杂度越来越高,引发了大量安全漏洞.为避免潜在安全漏洞造成的危害,研究人员提出了一系列智能合约漏洞检测方法.但现有方法对合约特征表征不完整,未将合约的语义及结构特征进行统一表征,难以准确、全面地检测和识别智能合约中的潜在漏洞和安全风险.为此,本文提出了基于图注意力网络的智能合约漏洞检测方法SCG-Detector(Smart Contract Graph Detector).首先,通过解析合约源代码构建抽象语法树(Abstract Syntax Tree,AST)以表征合约语法结构信息,并在AST上添加表示语义信息的数据依赖关系和控制依赖关系,以构建合约图(Smart Contract Graph,SCG)同时表征合约的语法结构及语义信息;然后,将SCG输入到图注意网络模型中进行训练,利用注意力机制学习合约中漏洞的特征;最后,利用训练好的图注意力网络模型检测合约中是否存在漏洞及所存在漏洞的类型.SCG-Detector在12616个智能合约上进行的实验结果表明,相比于sFuzz、Conkas、ConFuzzius、Mythril、Osiris、Slither、Oyente、MANDO-GURU等8种广泛使用的方法,SCG-Detector的Precision最高提升了26.46%,Recall最高提升了69.64%,F1最高提升了59.57%.