EtherGroup以加密货币和ERC-20Token的形式持有数十亿美元,其中数百万的智能合约通过算法来操作这些资金。毫无疑问,以太坊智能合约的安全是经过严格审查的。最近几年,有很多防御措施被用来检测不同类型的智能合约代码漏洞。一旦利用代码漏洞的机会减少,攻击者就会转向旨在影响人类的社会工程攻击,这通常是系统中最薄弱的一环。在以太坊中,唯一已知的社交工程攻击类别就是为试图利用现有漏洞的攻击者植入了一个隐藏陷阱的蜜罐,而目标只是潜在受害者的一小部分。
本研究探讨了智能合约蜜罐之外新社交工程攻击的可能性及出现方式。以太坊社会工程攻击(AddreesensManipulability)和同形词词(Homograph)为研究对象,提出了6种0-day社会工程攻击。为展示如何在流行的编程模式中使用攻击,我们研究了5个热门智能合约的案例,它们的总市值超过290亿美元,并且它们将攻击模式集成到了它们的源代码中,并且不改变它们的现有功能。另外,研究显示,这些攻击在测试阶段都处于休眠状态,只是在最终生产部署时才会激活它们的恶意逻辑。对85,656个开放源码智能合约进行了进一步分析,发现其中1,027个可用来攻击社会工程。通过对7家智能合约审核公司的专家进行的专业意见调查,确认暴露出来的社会工程攻击是智能合约系统的主要威胁。
在过去的10年中,区块链技术从一个鲜为人知的加密货币分类账发展到了市值高达数千亿美元的产业。它广泛扩展的主要原因是它支持智能合约的能力——分散的程序,可以强制执行协议而无需任何第三方或相互信任。另外,使用智能合约来储存和转移金融资产。比如,到2020年12月,TetherUSD智能合约的用户超过210万,每天的交易额达到360亿美元左右。
和第三方软件相同,智能合约也出现安全漏洞,近期的黑客攻击导致了数百万美元的亏损。另外,Zhou等人近期分析了4.2亿份以太坊交易。显示出智能合约中不断出现漏洞和攻击。为避免智能合约hack的破坏性严重后果,很多安全审计工具被开发出来用于检测智能合同漏洞,如重入、整数溢出等,其中大部分都是智能合同代码。缺陷。但智能合约是由人类开发者设计并实现的,它可以与人类用户交互,而人类用户是智能合约生态系统的核心组成部分。但现有的智能合约安全研究中,却没有考虑人为因素。本论文的目的是提供首次以人为本的智能合约安全研究。