基于静态分析的Fabric智能合约安全检测

摘要

Fabric区块链作为广受欢迎的联盟链框架,其智能合约多采用Golang通用高级语言开发,而智能合约在开发过程中容易引入安全漏洞,部署后会产生潜在的安全隐患。虽然Golang语言通用的代码存在静态审计工具,但是该工具不能有效识别与智能合约中与区块链系统架构相关的安全风险。为了应对上述情况,本文研究总结了Fabric区块链智能合约的非确定性、逻辑安全和数据隐私安全三大类安全漏洞,并提出了针对Fabric智能合约安全检测的静态分析方法,同时设计了基于静态分析方法的智能合约安全检测工具。相比于Chaincode scanner和富士通智能合约安全检测工具在数据隐私安全检测方面的不足,该工具可覆盖检测非确定性、逻辑安全和数据隐私安全3大风险类型及对应13种安全风险项,准确定位风险项位置,可为智能合约开发人员提出可视化开发指导建议。