SoK: 通过系统文献综述分析智能合约现实攻击中10亿美元损失的根本原因

摘要

尽管以太坊生态系统已经相对成熟，但仍在持续遭受灾难性攻击，每年导致数十亿美元的资产损失。作为回应，大量研究专注于识别和缓解智能合约漏洞。然而，这些努力主要关注实现层面的错误，导致学术界对漏洞的理解与现实世界高影响财务损失的根本原因之间存在关键差距。

我们采用双重方法：首先，对71篇学术论文进行系统文献综述，建立了研究界理解的24个活跃和5个已弃用漏洞的全面最新目录。其次，我们对2022年至2025年间50个最严重的现实世界漏洞利用进行深入的实证分析，这些漏洞总共造成超过10.9亿美元的损失，以确定其真正的根本原因。

我们通过揭示许多事件并非由孤立的漏洞引起，而是由人为、操作和经济设计缺陷与实现错误组合形成"利用链"来实现攻击，从而引入了"利用链"的概念。我们的分析提供了关于DApp在实践中如何被利用的见解，导致了一个新颖的四层根本原因框架，超越了代码级漏洞。

我们发现，对以太坊（及相关网络）的现实世界成功攻击可追溯到以下四个层级之一：(1)协议逻辑设计，(2)生命周期和治理，(3)外部依赖关系，以及(4)传统实现错误（经典智能合约漏洞）。我们通过案例研究调查了这种多层事件根本原因框架的适用性。

研究主题

密码学与安全（cs.CR）

引用信息

arXiv:2507.20175 [cs.CR] DOI: https://doi.org/10.48550/arXiv.2507.20175

提交历史

提交日期：2025年7月27日 版本：v1 提交作者：Mojtaba Eshghie