主页 / 新闻动态 /

2021网安中心一季度优秀论文汇总

发布时间:2021-03-27 来源:ICSR 作者:浙大网安

       2021年一季度,在网安中心全体师生潜心科研、辛苦耕耘的付出下,各大会议期刊上共计有20篇论文被收录。

现论文统计如下:
 

数据安全 Data Security

Towards Achieving Keyword Search over Dynamic Encrypted Cloud Data with Symmetric-Key Based Verification

Dealer: An End-to-End Model Marketplace with Differential Privacy

Eclipse: Generalizing kNN and Skyline

Visually Aware Recommendation with Aesthetic Features

 

物联网安全 IoT Security

RFace: Anti-Spoofing Facial Authentication Using COTS RFID

ShakeReader: 'Read' UHF RFID using Smartphone

Hand-Key: Leveraging Multiple Hand Biometrics for Attack-Resilient User Authentication Using COTS RFID

MandiPass: Secure and Usable User Authentication via Earphone IMU

Injecting Reliable Radio Frequency Fingerprints Using Metasurface for the Internet of Things

Scanning the Voice of Your Fingerprint with Everyday Surfaces

Pushing the Limit of PFA: Enhanced Persistent Fault Analysis on Block Ciphers

 

系统安全 System Security

CSim2: Compositional Top-down Verification of Concurrent Systems using Rely-Guarantee

POP and PUSH: Demystifying and Defending against (Mach) Port-oriented Programming

 

网络安全 Network Security

Phishpedia: A Hybrid Deep Learning Based Approach to Visually Identify Phishing Webpages

 

人工智能安全 AI Security

Secure Prediction of Neural Network in the Cloud

Self-propagation Graph Neural Network for Recommendation

 

区块链安全 Blockchain Security

Towards Understanding and Demystifying Bitcoin Mixing Services

Tracking Counterfeit Cryptocurrency End-to-end

EOSafe: Security analysis of EOSIO smart contracts

e-PoS: Making Proof-of-Stake Decentralized and Fair

 

数据安全 Data Security
 

Towards Achieving Keyword Search over Dynamic Encrypted Cloud Data
with Symmetric-Key Based Verification

Xinrui Ge, Jia Yu, Hanlin Zhang, Chengyu Hu, Zengpeng Li, Zhan Qin, Rong Hao

IEEE Transactions on Dependable and Secure Computing, Volume. 18, Issue. 1. Publication date: January 2021

摘要:可验证搜索对称加密作为一种重要的云安全技术,允许用户通过关键字从云中检索加密数据,并验证返回结果的有效性。云数据的动态更新是此类方案中数据所有者最常见和最基本的需求之一。现有的支持数据动态更新的可验证SSE方案都是基于非对称密钥密码验证的,耗时巨大。由于云数据量的巨大规模,验证的计算开销可能成为负担。因此,如何在动态加密的云数据上实现高效的关键字搜索成为一个亟待解决的问题。针对这一问题,本文探讨了利用对称密钥验证实现动态加密云数据的关键字搜索,并提出了一种实用的方案。为了支持动态数据的有效验证,我们设计了一种新的基于对称密钥密码的累积认证标签(AAT),为每个关键字生成一个认证标签。利用所设计的AAT的累积特性,当云数据发生动态操作时,可以方便地更新认证标签。为了实现高效的数据更新,我们还设计了一个新型的安全索引:它由基于正交表的搜索表和包含AAT的验证表组成。由于搜索表的连通性和灵活性,可以显著提高更新效率。理论安全性分析和实验性能评估结果表明,该方案在安全性与高效性方面的良好表现。

 

Dealer: An End-to-End Model Marketplace with Differential Privacy

Jinfei Liu, Jian Lou, Junxu Liu, Li Xiong, Jian Pei, and Jimeng Sun

47th International Conference on Very Large Data Bases (VLDB 2021)

摘要:数据驱动的机器学习已经无处不在。机器学习模型市场将数据所有者和模型购买者联系起来,可以极大地促进数据驱动的机器学习应用程序的发展。在本文中,我们从正式的数据市场角度出发,并提出第一个端到端的满足差分隐私的数据模型市场Dealer,以回答以下问题:如何制定数据所有者的补偿函数和模型购买者的价格函数?如何确定一组模型的价格,使保证无套利利益的最大化,并在给定生产预算的情况下训练具有最大Shapley覆盖率的一组模型,以保持竞争力?对于前者,我们建议根据Shapley值和隐私敏感度为每个数据所有者提供补偿函数,并根据Shapley覆盖率敏感度和噪声敏感度为每个模型购买者建议价格函数。隐私敏感度和噪声敏感度均由差分隐私的级别来衡量。对于后者,我们为模型定价和模型训练提出了两个优化问题,并提出了有效的动态规划算法。在真实象棋数据集和集成数据集上的实验结果证明了Dealer的设计合理,并验证了所提出算法的效率和有效性。

 

Eclipse: Generalizing kNN and Skyline

Jinfei Liu, Li Xiong, Qiuchen Zhang, Jian Pei, and Jun Luo

37th IEEE International Conference on Data Engineering (ICDE 2021)

摘要:k最近邻(kNN)查询和Skyline查询是多维数据的重要查询。给定查询点,KNN需要预定义属性权重(或首选项),再根据评分函数(如属性的加权总和)返回k个最近邻。对于任何具有单调性的评分函数,Skyline无需属性权重也可计算出所有可能的最近邻,但返回点的数量可能会非常大。

在本文中,我们提出了一种Eclipse查询,该查询将经典的1NN和Skyline查询进行了概括,并为用户提供了可定制的查询解决方案。在Eclipse中,用户可以指定粗略、可自定义的属性首选项,并控制返回点的数量。我们证明1NN和Skyline都是Eclipse查询的实例。为了处理Eclipse查询,我们提出了一种时间复杂度为O(n ^ 22 ^ {d-1})的基线算法,以及一种基于O(nlog ^ {d-1} n)时间变换的改进算法,其中n是点数,d是维数。此外,我们提出了一种新颖的基于索引的算法,该算法利用对偶变换,提高计算效率。实验在真实的NBA数据集和合成数据集上进行,结果证明,Eclipse查询效果好,Eclipse算法效率高。

 

Visually Aware Recommendation with Aesthetic Features

Wenhui Yu, Xiangnan He, Jian Pei, Xu Chen, Li Xiong, Jinfei Liu, and Zheng Qin

The VLDB Journal (VLDBJ 2021)

摘要:视觉信息在人类决策过程中起着至关重要的作用。最新的视觉感知推荐系统已将产品图像纳入考虑范围。我们认为,美学因素对于建模和预测用户的喜好非常重要,尤其是对于某些与时尚相关的领域,例如服装和珠宝。本文工作是我们先前论文[43]的扩展,其中我们解决了在视觉感知的推荐器系统中对美学信息进行建模的需求。从技术上讲,我们在利用深层美学特征方面做出了三个关键贡献。在[43]中,(1)我们利用深度美学网络,引入了从产品图像中提取的美学特征以描述产品的美学。我们将这些特征整合到了推荐系统中,以在美观方面对用户的偏好进行建模。(2)在服装推荐中,时间对于用户做出决策非常重要,因此我们针对隐式反馈数据设计了一个新的张量分解模型。然后将美学特征注入到基本张量模型中,以捕获美学偏好的时间动态。

在此扩展版本中,我们尝试探索负采样中的美学特征,以发现其在推荐任务中的潜在好处。在隐式反馈数据中,我们只有正样本,需要进行负采样以获得负采样。在传统的抽样策略中,以发现其在推荐任务中的潜在好处。但是,我们可能会错误地将潜在样本(首选但看不见的样本)作为阴性样本进行采样。为了解决这个问题,(3)我们使用美学特征来优化采样策略。我们通过考虑美学空间(以及语义空间和图形)中项目之间的相似性来丰富成对训练样本。关键思想为,对于相似物品,用户感知可能也相似。我们在几个真实世界的数据集上进行了广泛的实验,并证明了美学特征的有用性以及我们提出的方法的有效性。

 

物联网安全 IoT Security
 

RFace: Anti-Spoofing Facial Authentication Using COTS RFID

Weiye Xu, Jianwei Liu, Shimin Zhang, Yuanqing Zheng, Feng Lin, Jinsong Han, Fu Xiao, K. Ren 

Proceedings of IEEE International Conference on Computer Communications (INFOCOM), 2021

摘要:当前的面部认证(FA)系统主要基于人脸图像,因此遭受隐私泄露和欺骗攻击。主流面部认证系统利用面部几何特征进行抗欺骗攻击。然而这些认证方式仍然饱受特征合成等方式的攻击(例如3D打印的人脸)。在本文中,我们提出了一种新颖的保护隐私的防欺骗攻击的人脸识别系统,名为RFace。该系统使用COTS RFID标签阵列提取面部的3D几何形状和内部生物材料特征。这些特征很难捕获和伪造,因此可以抵抗欺骗攻击。RFace仅要求用户将面部摆放在标签阵列前几秒钟,并且不会泄漏他们的面部隐私。我们建立了一个理论模型来严格证明特征捕获的可行性以及面部特征与射频信号之间的对应关系。在实用性方面,我们设计了一种有效的算法来缓解面部和标签阵列之间距离和偏转角度不稳定的影响。我们对30位参与者进行的大量实验和三种类型的主流欺骗攻击,结果表明RFace的平均身份验证成功率超过95.5%,EER达到4.4%。更重要的是,在实验中没有欺骗攻击能够成功欺骗RFace。

 

ShakeReader: 'Read' UHF RFID using Smartphone

Kaiyan Cui, Yanwen Wang, Yuanqing Zheng, Jinsong Han

Proceedings of IEEE International Conference on Computer Communications (INFOCOM), 2021.

摘要:作为一种有效且支持远距离读取的自动识别技术,无线射频识别(RFID)标签已被广泛地部署于物流、零售等领域,从而方便库存管理、提高盘存效率。但普通用户因没有便携式的RFID读取设备很难从已部署的RFID标签中获取到有价值的信息,如RFID标签上详细的物流信息可以帮助用户进行商品溯源及防伪。为此,本文提出了一种利用智能手机“读取”RFID标签信息的方案(ShakeReader)。为了“读取”感兴趣的标签,用户只需在此标签前手持手机做一个预定义的手势,从而造成标签数据(相位信息)的波动及手机传感器数据(加速度计信息)的波动。由于两种数据的波动都是由同一手势引起的,根据时间上的同步性,我们的系统便可将感兴趣的标签与相应的智能手机配对,从而使得用户能借助智能手机来间接“读取”RFID标签。同时,本文建立了一个新型的反射体极化模型,来分析智能手机运动对RFID标签反向散射信号的影响。实验结果表明,ShakeReader可以有效地匹配用户感兴趣的标签与相应的智能手机,匹配准确率可达94.6%。

 

Hand-Key: Leveraging Multiple Hand Biometrics for
Attack-Resilient User Authentication 
Using COTS RFID

Jianwei Liu, Xiang Zou, Feng Lin, Jinsong Han, Xian Xu and K. Ren

Proceedings of IEEE International Conference on Distributed Computing Systems (ICDCS), 2021.

摘要:生物特征已经被广泛用于用户认证。然而。现有的从体表采集的体外生物特征(例如指纹)容易受到欺骗攻击的威胁。尽管心电图等体内的生物特征不容易被伪造,但是它们复杂的获取方式和自身的不稳定性导致了较差的用户体验。因此,实现用户友好且高安全性的用户认证方法是具有挑战性的。在本文中,我们提出了Hand-Key,一种具有免疫攻击且易于使用的用户身份认证系统。Hand-Key利用低成本的射频识别(RFID)标签阵列来同时收集人手的内部成分和外部几何特征用于识别用户。在身份认证过程中,仅要求用户摆出握手的姿势并把手伸到阅读器天线和标签阵列之间。为了进一步提高安全性,我们巧妙地利用了RFID系统中防冲突协议的天然随机性,以使Hand-key免疫重放攻击。我们构建了Hand-Key的系统原型,并邀请30名志愿者参与了认证实验。实验结果表明Hand-Key的认证成功率可以达到99%。

 

MandiPass: Secure and Usable User Authentication via Earphone IMU

Jianwei Liu, Wenfan Song, Leming Shen, Jinsong Han, Xian Xu and K. Ren

Proceedings of IEEE International Conference on Distributed Computing Systems (ICDCS), 2021.

摘要:生物识别在用户身份认证中起着至关重要的作用。但是,最广泛使用的生物特征(例如面部特征和指纹)易于被捕获或记录,因此容易受到欺骗攻击。相反,体内生物特征,例如心电图和脑电图,由于难以收集而对于身份验证来说更加安全。不幸的是,由于它们的收集方法复杂且会对用户造成不便,利用它们进行认证对用户来说不太友好。在本文中,我们提出了一种新颖的基于体内生物特征的认证系统,即MandiPass。MandiPass利用惯性测量单元(IMU)(已广泛部署在便携式设备中)从用户下颌骨的振动信号中收集体内生物特征。在认证时仅要求用户发出简短的类似于“ EMM”的声音以产生振动。MandiPass可以实现安全且用户友好的基于生物特征的身份认证。我们从理论上验证了MandiPass的可行性,并开发了一个两分支深度神经网络来进行有效的生物特征提取。我们还利用高斯矩阵来防御重放攻击。对34位志愿者进行的大量实验结果表明,即使在各种不利环境下, MandiPass的平均错误率也可以达到1.28%。

 

Injecting Reliable Radio Frequency Fingerprints Using Metasurface for the Internet of Things

Sekhar Rajendran; Zhi Sun; Feng Lin; and K. Ren

IEEE Transactions on Information Forensics and Security, Volume 16, 2021

摘要:在物联网环境中,大量资源有限的设备相互通信,安全问题已成为影响该领域进步的主要绊脚石。现有基于数字签名的身份验证方案在计算时间、电池功率、带宽、内存和相关硬件成本方面都开销较大。射频指纹 (RFF)利用独特的基于设备的信息是一个潜在的良好解决方案。然而,传统的射频指纹由于可靠性低等原因已逐渐失效。我们是第一个提出基于元表面射频指纹注入 (MERFFI)的这样一种解决方案,通过将精心设计的射频指纹注入无线物理层,从而以最小的开销提高物联网设备的安全性。并且该MERFFI 系统可以轻松地集成到现有的认证方案中。我们开发和利用低成本的材料和元表面实现了MERFFI 系统的原型,该系统的元表面特性旨在使物联网设备通信的特定频段发生小但可检测的扰动。我们进行了全面的系统评估,包括距离、方向、多通道等,验证了这些指纹的可行性、有效性和可靠性。文章最后分析了一些最具威胁性的无线物理层攻击的安全脆弱点以及相应的对策。

 

Scanning the Voice of Your Fingerprint with Everyday Surfaces

Aditya Singh Rathore; Chenhan Xu; Weijin Zhu; Afee Daiyan; Kun Wang; Feng Lin; K. Ren; and Wenyao Xu

IEEE Transactions on Mobile Computing, 2021

摘要:本文提出了一套基于指纹声音的身份识别系统,该系统无需传统的高能耗高价格光学或电容指纹传感器,而仅需日常常见的低能耗低成本的麦克风就可以实现指纹身份认证,可以广泛应用于可穿戴设备,智能家居,工业物联网等物联网终端。类比手指指纹由于纹理的细粒度差异在指纹图像识别中表现为个体的唯一性和不变性,“指纹音”声波基于指纹的摩擦同样从内在上携带了个体不同的纹理特征。为了从微弱的语音上提取反映指纹差异化的特征,我们借鉴了指纹图像识别的三层指纹描述,构建了层次化指纹音特征提取模型。通过包含线性判别分析、支持向量机等一系列预测模型在内的全体分类器对指纹音特征进行投票分类,从而使“指纹音”系统变成一个新型“指纹扫描仪”,保证了“指纹音”区分用户的准确率。实验显示31个用户在12种不同类型的材料表面进行不同类型的手指摩擦,能达到98%的用户区分准确度。

 

Pushing the Limit of PFA: Enhanced Persistent Fault Analysis on Block Ciphers

Guorui Xu, Fan Zhang*, Bolin Yang, Xinjie Zhao, Wei He, K. Ren

IEEE Transactions on Computer-Aided Design of Integrated Circuits and and Systems (TCAD)

摘要:持久性故障分析(PFA)是一种新提出的针对分组密码的密码分析方法。但在原始 PFA 中,仅利用了加密算法轮次中有限的信息。本文提出了一种加强版的持久性故障分析方法(EPFA),可以在更深轮次上利用故障泄漏,旨在尽可能减少所需的密文数量,从而推进 PFA 方法所能达到的极限。本文首先介绍了EPFA应用于基于 SPN 的密码算法的通用框架,随即将其应用在 AES 中。然后将其扩展到其他基于 SPN 的轻量分组密码,例如 LED 和 SKINNY。为了提高 EPFA 的效率,本文还提出了一种基于混合基数的并行算法,该算法能够充分利用 GPU 的算力。实验结果表明,EPFA 可以将所需的密文数量减少到 1000 以下,仅占之前所需密文的40%。引入 GPU 进行加速,也使得 EPFA 的速度最多可提高至 200 倍。

 

系统安全 System Security
 

CSim2: Compositional Top-down Verification of Concurrent Systems using Rely-Guarantee

David Sanan, Yongwang Zhao*, Shangwei Lin, Yang Liu

ACM Transactions on Programming Languages and Systems, Vol. 43, No. 1, Article 2. Publication date: January 2021

摘要:为了使大规模复杂并发系统的形式化验证更有效更可伸缩,可组合的验证技术是非常有效的方法。软件实现或二进制代码等最底层的详细信息,使得对其直接进行形式化验证非常困难。为了简化实现层面的验证,自顶向下的验证技术通过在系统顶层的验证性质自动传递到最底层,从而极大提高系统实现的验证效率。本文提出了一种基于依赖确保的复杂并发系统自顶向下形式化验证框架CSim2,并在Isabelle/HOL定理证明器中进行了实现。CSim2框架使用并发程序规约语言CSimpl,它可以有效表达复杂编程语言中的核心机制,如异常、断言和过程调用等。CSim2为CSimpl程序提供了一种依赖确保性质的组合推理机制。针对自顶向下验证,CSim2提供了一种基于模拟的框架以保证依赖确保性质自顶向下的逐层保持,从而使得顶层规约上验证的安全性质,在下层规约上仍然满足。最后,本文以ARINC653操作系统的通信服务为案例,构造了相应的CSimpl模型,并证明了其复杂的安全性质。

 

POP and PUSH: Demystifying and Defending against (Mach) Port-oriented Programming

Min Zheng, Xiaolong Bai, Yajin Zhou*, Chao Zhang, Fuping Qu

Proceedings of the 28th Annual Network and Distributed System Security Symposium (NDSS 2021)

摘要:本文提出了一种在iOS内核中进行代码利用的方法,即通过系统中的Mach端口(port)进行攻击(简称POP攻击)。本文系统性研究了可以被用于POP攻击的代码片段(gadget),并且展示了如何使用POP攻击在最新的系统上(iOS 13和macOS 10.15)实现完全的内存控制能力。为了解决POP攻击威胁,我们提出了PUSH系统来保护系统的Mach端口。我们实现了一个系统原型,通过对18个公开的利用代码和一个零日漏洞利用的实验证明了系统的有效性。

 

网络安全 Network Security
 

Phishpedia: A Hybrid Deep Learning Based Approach to Visually Identify Phishing Webpages 

Yun Lin, Ruofan Liu, Dinil Mon Divakaran, Jun Yang Ng, Qing Zhou Chan, Yiwen Lu, Yuxuan Si, Fan Zhang, Jin Song Dong

30th USENIX Security Symposium(USENIX21)

摘要:近年来,检测和识别钓鱼网站的方法不断得到发展,但这些方法通常只报告两种结果,即钓鱼或非钓鱼,不对结果进行解释。由于钓鱼网站通过仿冒品牌网站来诱骗用户的账户、密码、银行卡号等隐私信息,往往具有和品牌网站相似甚至相同的logo标志,可以基于该点来说明钓鱼网站仿冒了哪个品牌。因此,本文提出了一种基于网站logo标志来识别钓鱼网站并说明其仿冒的品牌对象的系统(Phishpedia),该系统主要解决了两大技术难点:1)以目标网页截图为基础,利用Faster-RCNN模型准确识别出logo标志,2)使用以ResNetV2算法为核心的孪生神经网络模型,对目标网页logo与品牌网站logo进行精确对比。当目标网站与品牌网站logo相同但域名不同时,则认定该目标为钓鱼网站,并解释其仿冒的品牌。实验表明,Phishpedia的效果明显优于其他反钓鱼方法,并在30天内发现了1704个最新的钓鱼网站。综上所述,本文的方法在检测钓鱼网站方面准确高效,具有很强的实用性。

 

人工智能安全 AI Security
 

Secure Prediction of Neural Network in the Cloud

Minghui Li, Yuejing Yan, Qian Wang, Minxin Du, Zhan Qin, Cong Wang

IEEE Network, Volume. 35, Issue. 1. Publication date: January 2021

摘要:神经网络因其在提供具有洞见性的预测方面性能优异而备受关注。经过训练的神经网络模型通常有数百万个参数,需要大量的存储资源。这促使模型所有者将其模型部署到云服务器上以减轻存储负担。同时,用户还可以直接享受云服务器提供的预测服务。云服务器虽然方便,但仍不可完全信任。其可能会侵犯模型所有者和客户端的隐私。这一问题阻碍了预测外包服务的广泛应用。本文综述了多种保护了模型和查询的隐私的神经网络预测服务。许多协议都是在基本的两方安全计算(S2C)设置中,它保护了查询者和模型所有者的敏感书不被对方的获知。安全外包架构进一步保护模型的隐私,使其不受为预测服务托管模型的云的影响。我们在文中比较了现有方法的安全性、准确性和效率。并在此基础上,提出了一种优化的计算外包环境下的神经网络预测方案。该方案同时实现了高精度、模型私密性和低开销,并对计算时间和通信开销进行了实验评估。最后,我们提出了未来的几个研究方向,并对加强安全性和提高效率方面存在的问题提出了新的研究思路。

 

Self-propagation Graph Neural Network for Recommendation

Wenhui Yu, Xiao Lin, Jinfei Liu*, and Zheng Qin

IEEE Transactions on Knowledge and Data Engineering (TKDE 2021)

摘要:在推荐任务中,我们基于观察到的用户-项二部图,通过学习节点偏好表示(即用户和项目嵌入)对用户偏好进行建模。图神经网络(GNN)被广泛用于通过探索图的拓扑结构来精炼表示:将连接节点的嵌入传播到当前节点,以帮助构建其嵌入。但是,GNN中的传播策略是经验性的,存在以下缺陷:1)稀疏观测图中有相当大比例的链路丢失,导致GNN的传播效率低下且有偏向性;2)传播权重由粗略的预定义规则确定,该规则仅考虑节点的度。

在本文中,我们为GNN提出了一种由数据驱动的密集传播机制。考虑到任务推荐中用于传播嵌入的图非常稀疏,我们对其进行了补充,并将预测的图用作新的传播工具。我们从观察到的数据中学习传播矩阵,并提出了自传播图神经网络(SGNN)。由于维护大而密集的传播矩阵非常耗费时间和空间,我们将其分解以进行存储和更新。在本文中,我们提出了三种方法来完成观测图和构造传播矩阵:1)我们基于推荐模型完成图的绘制;2)我们基于光谱聚类来测量节点距离;3)我们根据预测嵌入预测图的缺失链接。在SGNN中,嵌入不仅可以传播到观察到的邻居,还可以传播到潜在但尚未观察到的邻居,并且根据连接强度来学习传播权重。在两个真实数据集上进行的综合实验证明了我们提出的模型的有效性:SGNN的性能明显优于最新的GNN。

 

区块链安全 Blockchain Security
 

Towards Understanding and Demystifying Bitcoin Mixing Services

Lei Wu, Yufeng Hu, Yajin Zhou*, Haoyu Wang, Xiapu Luo, Zhi Wang, Fan Zhang, K. Ren

Proceedings of the 30th The Web Conference (WWW 2021)

摘要:混币服务可以将比特币中的交易进行混合从而增强交易的匿名性。然而混币服务常常被洗钱等非法活动滥用,从而导致对这一些非法行为的追踪变得困难。本文研究了比特币中的常用混币服务,首先提出了常见混币服务的三阶段模型,然后在此基础上对四种具有代表性的混币服务的混币机制进行了深入研究,最后对其中的某一个混币服务的交易进行识别。我们提出的算法能识别使用Chipmixer进行混币服务的交易,准确率超过92%。本文的研究成果可以为通过比特币进行洗钱的行为追踪提供技术支撑。

 

Tracking Counterfeit Cryptocurrency End-to-end

Bingyu Gao, Haoyu Wang, Pengcheng Xia, Siwei Wu, Yajin Zhou, Xiapu Luo, Gareth Tyson

Proceedings of the ACM SIGMETRICS 2021 (SIGMETRICS 2021)

摘要:本文研究了数字货币中的假币(同流行数字货币名称相同或者类似的货币)以及其影响。具体来说,我们研究了超过19万个以太坊上ERC-20数字货币,发现了超过2000个假币。然后我们研究了假币的生态,包括假币流行度,制造者和持有者以及假币的发行和推广渠道。在研究过程中,我们发现了超过7000个假币受害者,受害者的损失超过1700万美元(74,271个以太币)。我们的研究表明需要针对数字货币假币提出针对性的防范措施。

 

EOSafe: Security analysis of EOSIO smart contracts

Ningyu He, Ruiyi Zhang, Haoyu Wang*, Lei Wu*, Xiapu Luo, Yao Guo*, Ting Yu, and Xuxian Jiang

The 30th USENIX Security Symposium (USENIX Security 2021)

摘要:作为采用DPoS共识协议的代表性区块链系统,EOSIO近年来成长迅速。然而EOSIO平台去中心化应用的智能合约中存在大量的漏洞,且频繁被攻击者利用实施攻击,给项目方造成了严重的经济损失。目前大部分EOSIO平台的智能合约被编译为WebAssembly(Wasm)字节码且未开源,导致漏洞的分析和检测难以进行。针对这一挑战,我们提出了EOSAFE,这是首个针对EOSIO平台智能合约的静态分析框架,能够在字节码层次自动检测漏洞。EOSAFE由三部分构成,包括一个面向Wasm的高效的符号执行引擎、一个定制化的系统库模拟器、以及针对当前主流EOSIO平台合约漏洞的基于启发式的检测器。在测试数据集上的实验结果表明EOSAFE达成了极佳的检测结果(98%的F1值)。我们将该原型系统大规模应用于53,666个实际部署上链的智能合约(截至2019年11月15日),发现25%的智能合约存在漏洞。通过进一步的分析,我们发现已存在针对这些合约的实际的攻击尝试,并发现了48个实际的攻击(其中27已被应用开发者确认),这些攻击已造成至少170万美金的经济损失。

 

e-PoS: Making Proof-of-Stake Decentralized and Fair

Muhammad Saad, Zhan Qin, K. Ren, DaeHun Nyang, David Mohaisen

IEEE Transactions on Parallel and Distributed Systems, Volume. 32, Issue. 8. Publication date: January 2021

摘要:依赖于工作量证明(PoW)的区块链应用已经变得越来越低效,留下了过量的碳足迹。相比之下,如所有权证明(PoS)等相对节能的替代共识协议又可能会导致区块链系统的集中和不公平。为了应对这些挑战,我们提出了一种基于PoS的区块链系统模块化版本,称为e-PoS。其通过将挖掘机会扩展到更广泛的利益相关者来预防网络资源的集中化。此外,e-PoS系统利用内置系统操作来通过惩罚恶意实体促进公平的采矿行为。我们通过理论分析和仿真验证了e-PoS的可实现性。结果表明,e-PoS可以有效的确保公平性和分散性,并且可以直接应用于现有的区块链应用。

 

学院概况
学院简介
海外学术委员会
行政人员
联系我们
学科建设
学科建设概况
本科生课程
研究生课程
人才培养
学生概况
研究生名录
学生活动
科研方向
科研方向
科研项目
支撑平台
师资队伍
师资介绍
合作交流
学术活动
讲座预告
承办会议
人才招聘