近日，网络空间安全学院刁文瑞教授团队的论文“Bad Apples: Understanding the Centralized Security Risks in Decentralized Ecosystems”被顶级国际学术会议The ACM Web Conference 2023（CCF交叉领域A类国际会议，本年度录取率19.2%）录用。该项工作首次系统性地研究了去中心化生态系统中的中心化安全风险。2021级博士研究生闫凯伦为论文的第一作者，刁文瑞教授为论文的通讯作者，学院郭山清教授、暨南大学张继连教授、阿里巴巴集团刘翔宇博士参与了此项研究。山东大学为第一作者单位和唯一通讯作者单位。本研究项目获得了山东省泰山学者青年专家项目、国家自然科学基金等项目的资助。

近年来，以区块链为底层的去中心化应用得到了广泛关注。区块链的去中心化特性保证了参与者的匿名性和安全性，在去中心化金融和数字资产领域尤其受欢迎。一直以来，业界都认为去中心化生态系统中的服务都遵循会去中心化原则。然而，该项研究表明，去中心服务仍然可能包含中心化的组件或场景，如第三方SDK、访问控制等，这些行为违背了去中心化的承诺，并由此可能会引发一系列的安全风险。该工作系统地研究了去中心化生态系统中存在的中心化安全风险，揭示了两个关键的去中心化服务——加密钱包（Crypto Wallets）和去中心化应用（DApps）中的7种由中心化引起的安全风险。

该项工作提出了两种方法对28个以太坊官方推荐的钱包进行评估，结果表明，27个钱包存在安全风险。同时，该工作还设计了一个自动化分析工具Naga，用于检测DApps的后端（即智能合约）中存在的中心化安全风险。在对110,506个以太坊链上合约进行了大规模评估后，Naga发现了92,254个合约（83.5%）存在安全风险，其中包括11,419个高价值合约和260个著名代币合约，总市值超过980亿美元。该项工作希望可以引起区块链社区对中心化问题的关注。

郭山清教授与刁文瑞教授领导的软件与系统安全研究组关注现实世界系统与设备的安全问题，研究方向包括移动安全、物联网安全、软件漏洞挖掘、人工智能安全、隐私增强技术等多个领域，近年在IEEE S&P、CCS、NDSS、ICSE等软件与系统安全领域顶级/著名学术会议发表多篇研究论文。

自动化工具Naga链接：https://github.com/d0scoo1/Naga

图文：刁文瑞

审核：魏普文