Автоматизированные инструменты безопасной разработки смарт-контрактов Ethereum

Andrey Valeryevich Chaheev; Zakhar Romanovich Nazarov

doi:10.25559/SITITO.021.202501.25-35

Andrey Valeryevich Chaheev Публичное акционерное общество "Сбербанк России" http://orcid.org/0009-0003-2299-5416
Zakhar Romanovich Nazarov Московский государственный университет имени М. В. Ломоносова; Публичное акционерное общество "Сбербанк России" http://orcid.org/0009-0004-5276-4253

DOI: https://doi.org/10.25559/SITITO.021.202501.25-35

Аннотация

Данная работа посвящена обзору автоматизированных инструментов безопасной разработки смарт-контрактов Ethereum. Рассматриваются актуальные уязвимости, характерные для смарт-контрактов, такие как уязвимость повторного входа, недостаточный контроль доступа, манипуляции с оракулом цены и другие. К каждой уязвимости приведена иллюстрация с уязвимым кодом.
Далее рассмотрены разные типы существующих автоматизированных инструментов безопасной разработки смарт-контрактов: статический анализатор, линтер, символьный исполнитель, фаззинг и подходы на основе машинного обучения. Для каждого типа инструмента рассмотрено соответствующее реальное решение, которое является одним из лучших в своей категории. Это такие open-source решения как статический анализатор Slither, линтер Solhint, символьный исполнитель Mythril и фреймворк Foundry, который содержит в себе возможность фаззинга.
Также рассмотрена текущая эффективность современных решений, которая показывает, что текущие угрозы плохо детектируется существующими инструментами. Исходя из этого предложены направления для дальнейшего развития новых инструментов безопасной разработки смарт-контрактов.
Полученные результаты могут быть использованы для более глубокого понимания вопросов безопасности смарт-контрактов, а также для повышения безопасности децентрализованных приложений и развития методов автоматизированного аудита смарт-контрактов.

Сведения об авторах

Andrey Valeryevich Chaheev, Публичное акционерное общество "Сбербанк России"

директор Департамента кибербезопасности

Zakhar Romanovich Nazarov, Московский государственный университет имени М. В. Ломоносова; Публичное акционерное общество "Сбербанк России"

студент совместной магистратуры "Кибербезопасность МГУ-СБЕР" факультета вычислительной математики и кибернетики; аналитик Центра управления продуктами кибербезопасности Департамента кибербезопасности

Литература

1. Abramov V.I., Glazkov A.A. Prospects for the Use of Smart Contracts in the Development of Business Ecosystems. Economics. Information technologies. 2022;49(2):256-267. (In Russ., abstract in Eng.) https://doi.org/10.52575/2687-0932-2022-49-2-256-267
2. Lutsenko S.I. The role of smart contracts in modern digital realities. Digital Economy. 2021;(2):37-41. (In Russ., abstract in Eng.) https://doi.org/10.34706/DE-2021-02-05
3. Allam Z. On Smart Contracts and Organisational Performance: A Review of Smart Contracts Through The Blockchain Technology. Review of Economic and Business Studies. 2018;11(2):137-156. https://doi.org/10.1515/rebs-2018-0078
4. Zheng Z., Xie S., Dai H.-N., Chen W., Chen X., Weng J., Imran M. An overview on smart contracts: Challenges, advances and platforms. Future Generation Computer Systems. 2020;105:475-491. https://doi.org/10.1016/j.future.2019.12.019
5. Sarwar M.I., Maghrabi L.A., Khan I., Naith Q.H., Nisar K. Blockchain: A Crypto-Intensive Technology A Comprehensive Review. IEEE Access. 2023;11:141926-141955. https://doi.org/10.1109/ACCESS.2023.3342079
6. Huang Y., Wang R., Chen X., Zheng Z. Ethereum Transaction Replay Platform Based on State-Wise Account Input Data. IEEE Transactions on Services Computing. 2024;17(5):2404-2416. https://doi.org/10.1109/TSC.2024.3390433
7. Zhikharev A.G., Kidanov V.V., Korsunov N.I. System-Object Modeling of Smart Contracts. Economics. Information technologies. 2023;50(4):859-872. (In Russ., abstract in Eng.) https://doi.org/10.52575/2687- 0932-2023-50-4-859-872
8. Ivanov N., Yan Q., Kompalli A. TxT: Real-Time Transaction Encapsulation for Ethereum Smart Contracts. IEEE Transactions on Information Forensics and Security. 2023;18:1141-1155. https://doi.org/10.1109/TIFS.2023.3234895
9. Shi J., Li R., Hou W. A Mechanism to Resolve the Unauthorized Access Vulnerability Caused by Permission Delegation in Blockchain-Based Access Control. IEEE Access. 2020;8:156027-156042. https://doi.org/10.1109/ACCESS.2020.3018783
10. Zhang Z., Zhang B., Xu W., Lin Z. Demystifying Exploitable Bugs in Smart Contracts. In: 2023 IEEE/ACM 45th International Conference on Software Engineering (ICSE). Melbourne, Australia: IEEE Press; 2023. p. 615-627. https://doi.org/10.1109/ICSE48619.2023.00061
11. Chaliasos S., Charalambous M.A., Zhou L., Galanopoulou R., Gervais A., Mitropoulos D., Livshits B. Smart Contract and DeFi Security Tools: Do They Meet the Needs of Practitioners? In: Proceedings of the IEEE/ACM 46th International Conference on Software Engineering (ICSE '24). New York, NY, USA: ACM; 2024. Article number: 60. p. 1-13. https://doi.org/10.1145/3597503.3623302
12. Samreen N.F., Alalfi M.H. Reentrancy Vulnerability Identification in Ethereum Smart Contracts. In: 2020 IEEE International Workshop on Blockchain Oriented Software Engineering (IWBOSE). London, ON, Canada: IEEE Press; 2020. p. 22-29. https://doi.org/10.1109/IWBOSE50093.2020.9050260
13. Liu C., Liu H., Cao Z., Chen Z., Chen B., Roscoe B. ReGuard: finding reentrancy bugs in smart contracts. In: Proceedings of the 40th International Conference on Software Engineering: Companion Proceedings (ICSE '18). New York, NY, USA: ACM; 2018. p. 65-68. https://doi.org/10.1145/3183440.3183495
14. Qian P., Liu Z., He Q., Zimmermann R., Wang X. Towards Automated Reentrancy Detection for Smart Contracts Based on Sequential Models. IEEE Access. 2020;8:19685-19695. https://doi.org/10.1109/ACCESS.2020.2969429
15. Xue Y., Ma M., Lin Y., Sui Y., Ye J., Peng T. Cross-Contract Static Analysis for Detecting Practical Reentrancy Vulnerabilities in Smart Contracts. In: 2020 35th IEEE/ACM International Conference on Automated Software Engineering (ASE). Melbourne, VIC, Australia: IEEE Press; 2020. p. 1029-1040.
16. Kannengießer N., Lins S., Sander C., Winter K., Frey H., Sunyaev A. Challenges and Common Solutions in Smart Contract Development. IEEE Transactions on Software Engineering. 2022;48(11):4291-4318. https://doi.org/10.1109/TSE.2021.3116808
17. Lebed S.V., Namiot D.E., Zubareva E.V., Khenkin P.V., Vorobeva A.A., Svichkar D.A. Large Language Models in Cyberattacks. Doklady Mathematics. 2024;110(Suppl 2):S510-S520. https://doi.org/10.1134/S1064562425700012
18. Xia S., He M., Shao S., Yu T., Zhang Y., Song L. SymGPT: Auditing Smart Contracts via Combining Symbolic Execution with Large Language Models. arXiv:2502.07644. 2025. https://doi.org/10.48550/arXiv.2502.07644
19. Fekih R.B., Lahami M., Bradai S., Jmaiel M. Formal Verification of ERC-Based Smart Contracts: A Systematic Literature Review. IEEE Access. 2025;13:11396-11422. https://doi.org/10.1109/ACCESS.2025.3527158
20. Wang C., Zhang J., Gao J., Xia L., Guan Z., Chen Z. ContractTinker: LLM-Empowered Vulnerability Repair for Real-World Smart Contracts. In: 2024 39th IEEE/ACM International Conference on Automated Software Engineering (ASE). Sacramento, CA, USA: IEEE Press; 2024. p. 2350-2353.
21. Wei Z., Sun J., Zhang Z., Zhang X., Li M., Hou Z. LLM-SmartAudit: Advanced Smart Contract Vulnerability Detection. arXiv:2410.09381. 2024. https://doi.org/10.48550/arXiv.2410.09381
22. Li Z., Li X., Li W., Wang X. SCALM: Detecting Bad Practices in Smart Contracts Through LLMs. arXiv:2502.04347. 2025. https://doi.org/10.48550/arXiv.2502.04347
23. Namiot D.E., Sukhomlin V.A. On Cybersecurity of the Internet of Things Systems. International Journal of Open Information Technologies. 2023;11(2):85-97. (In Russ., abstract in Eng.) EDN: DCDCHM
24. Namiot D.E., Kupriyanovsky V.P. Web3 Architectural Models. International Journal of Open Information Technologies. 2024;12(2):84-95. (In Russ., abstract in Eng.) EDN: CDXZIS
25. Kupriyanovsky V.P., Alenkov V.V., Sokolov I.A., Zazhigalkin A.V., Klimov A.A., Stepanenko A.V., Sinyagov S.A., Namiot D.E. Smart infrastructure, physical and information assets, Smart Cities, BIM, GIS, and IoT. International Journal of Open Information Technologies. 2017;5(10):55-86. (In Russ., abstract in Eng.) EDN: ZISODV