近日，2024年計(jì)算機(jī)與通信安全會議（ACM Conference on Computer and Communications Security，CCS 2024）在美國鹽湖城舉行。南方科技大學(xué)計(jì)算機(jī)系張殷乾教授課題組與合作者完成的論文“DoubleUp Roll: Double-spending in Arbitrum by Rolling It Back”榮獲 ACM CCS 2024 杰出論文獎 (Distinguished Paper Awards)。

該論文第一作者為南方科技大學(xué)計(jì)算機(jī)系張殷乾教授課題組2023級博士研究生孫致遠(yuǎn)。論文聚焦于 Arbitrum 這類主流區(qū)塊鏈擴(kuò)展協(xié)議中的關(guān)鍵漏洞，提出了三種全新的雙重支付攻擊方式：1. 超時攻擊（Overtime Attack）：攻擊者通過延遲交易處理，使跨鏈交易未能在規(guī)定時間內(nèi)完成確認(rèn)，進(jìn)而觸發(fā) Arbitrum 的時間校正機(jī)制，將已軟確認(rèn)的交易回滾，實(shí)現(xiàn)雙重支付；2. 隊(duì)列切割攻擊（QueueCut Attack）：攻擊者利用 Arbitrum 的“強(qiáng)制包含”機(jī)制，將自己的交易插入待確認(rèn)交易隊(duì)列的前端，導(dǎo)致其他合法交易被回滾，從而重復(fù)使用已兌換的資產(chǎn)；3. 壓縮炸彈攻擊（Zip-Bomb Attack）：通過發(fā)送大量無效填充數(shù)據(jù)的交易，觸發(fā)解壓縮過程中的大小限制，使得系統(tǒng)回滾合法交易，攻擊者的跨鏈交易被回滾，而目標(biāo)鏈上的資產(chǎn)已被使用，實(shí)現(xiàn)雙重支付。

研究團(tuán)隊(duì)在發(fā)現(xiàn)漏洞后立即向 Arbitrum 團(tuán)隊(duì)進(jìn)行了報(bào)告，漏洞即被修復(fù)，成功避免了可能高達(dá)數(shù)十億美元的損失。

據(jù)悉，ACM CCS 是由 ACM SIGSAC （國際計(jì)算機(jī)學(xué)會）主辦的旗艦安全會議，與 IEEE S&P、USENIX Security 和 NDSS 并稱為全球網(wǎng)絡(luò)與系統(tǒng)安全領(lǐng)域的四大頂級國際學(xué)術(shù)會議，也是中國計(jì)算機(jī)學(xué)會（CCF）推薦的A類學(xué)術(shù)會議。此次獲獎進(jìn)一步彰顯了南方科技大學(xué)在國際計(jì)算機(jī)安全領(lǐng)域的學(xué)術(shù)影響力。