Page 351 - 《软件学报》2026年第1期
P. 351
348 软件学报 2026 年第 37 卷第 1 期
框架, 从智能合约层与 DeFi 协议层两个维度, 对漏洞类型及检测方法进行了全面的梳理与总结.
(2) 在智能合约方面, 深入总结了 LLM 在智能合约漏洞检测中的应用现状, 并分析了其作为主要检测引擎和
与传统方法相结合两方面的技术应用情况.
(3) 在 DeFi 协议方面, 系统性地分类并整理了 DeFi 协议层的漏洞及其检测方法, 弥补了现有综述在 DeFi 协
议漏洞检测方面的不足.
(4) 全面梳理了当前智能合约与 DeFi 协议漏洞检测技术面临的挑战, 并展望了未来的研究方向, 以推动智能
合约安全领域的进一步发展.
本文第 2 节介绍智能合约与 DeFi 协议的漏洞类型, 涵盖智能合约层和 DeFi 协议层的不同漏洞类别. 第 3 节
详细探讨智能合约与 DeFi 协议的漏洞检测方法, 重点分析传统检测方法与 LLM 方法在智能合约层的优势与不
足, 并探讨 LLM 在 DeFi 协议中的应用潜力. 第 4 节针对当前领域存在的挑战进行深入分析, 并展望未来的研究方
向. 第 5 节对全文内容进行总结.
2 智能合约与 DeFi 协议漏洞类型
智能合约与 DeFi 协议在推动去中心化应用 (decentralized application, DApp) 发展过程中, 暴露出了一系列漏
洞, 这些漏洞已被大量攻击者发现并利用. 智能合约作为 DeFi 协议的基础, 通过编写特定代码自动执行交易和管
理资产的逻辑. DeFi 协议则由多个智能合约组成, 提供借贷、交易和流动性管理等金融服务和功能. 根据组成关
系, DeFi 协议可分为两个层次: 关键组件与模块, 以及协议与衍生品. 关键组件与模块包括自动做市商 (automated
market making, AMM)、收益耕作机制、治理机制、清算机制、流动性挖矿、稳定币及 NFT 与金融资产的标记
化, 而协议与衍生品则涵盖去中心化交易所、借贷协议、收益聚集器、跨链桥和衍生品协议.
为了系统性地分析智能合约和 DeFi 协议的漏洞类型, 本文从智能合约层和 DeFi 协议层两个层面对漏洞类型
进行分类和归纳. 我们使用 Zhou 等人 [27] 提出的 5 层漏洞分析框架作为分析基础, 包括网络、共识、智能合约、
DeFi 协议和辅助服务. 本文的研究重点聚焦在智能合约层和 DeFi 协议层, 因为这两个层次的漏洞直接关系到智
能合约的安全性与漏洞利用的实际风险, 具体研究框架如图 3 所示.
DeFi 协议层
去中心化交易所 借贷协议
协议及衍
生品 衍生品协议
收益聚集器 跨链桥
自动做市商 清算机制
关键组件 NFT 与金融
与模块 收益耕作机制 流动性挖矿 资产标记化
治理 稳定币
价格操纵漏洞 辅助工具漏洞 权限漏洞 治理漏洞
智能合约层
状态转换 编码错误 访问控制 数值计算
图 3 智能合约与 DeFi 协议漏洞检测研究框架
需要说明的是, 本文的研究对象是智能合约引发的漏洞, 不包括社会工程学、私钥泄漏等相关风险, 具体定义
如下.
