[Paper] 我的交易为何有风险？理解智能合约语义及其在 NFT 生态系统中的交互

Source: arXiv - 2512.17500v1

概览

该论文首次对智能合约语义及其交互如何在 NFT 生态系统中塑造风险进行大规模、数据驱动的分析。通过挖掘近 1 亿笔以太坊交易，作者揭示了为何某些 NFT 交易会变得“风险”（例如涉及诈骗代币），以及合约设计模式如何导致这种风险。

关键贡献

• 经验数据集：策划了一个庞大的以太坊快照，覆盖约 1 亿笔 NFT 相关交易，跨越 2000 万块。
• 语义分类法：识别出三大主要合约类别——代理、代币和 DeFi，并显示 NFT 合约的语义多样性出乎意料地低。
• 交互图分析：绘制合约间调用模式，揭示市场和代理注册合约充当枢纽，连接大量其他合约。
• 诈骗代币指纹：发现诈骗代币在字节码签名上趋于集中，而良性代币合约则更为多样。
• 风险关联的交互模式：分离出在风险交易中出现频率显著高于安全交易的特定调用序列模式。
• 缓解建议：为开发者、审计员和平台运营者提出具体指南，以检测并遏制风险交互。

方法论

1. 数据收集 – 使用归档节点和公共 API，从以太坊主网提取所有 NFT 相关交易（ERC‑721、ERC‑1155 事件）。
2. 合约分类 – 通过字节码相似性聚类和函数签名分析，将合约分为 proxy、token 和 DeFi 系列。
3. 交互图构建 – 构建有向图，节点为合约，边表示交易中的链上调用。
4. 风险标记 – 利用已有的诈骗代币列表（例如 Etherscan 的 “Scam” 标签、社区维护的黑名单），将交易标记为 risky 或 non‑risky。
5. 模式挖掘 – 使用频繁子图挖掘（gSpan）提取重复出现的交互模式，然后比较其在风险组与安全组中的出现率。
6. 字节码分析 – 进行 n‑gram 与 opcode 频率分析，以量化代币合约之间的多样性与趋同程度。

该流水线可通过开源脚本和公开数据集完全复现。

结果与发现

实际影响

• 开发者防护：将字节码指纹检查集成到 CI 流水线中，以拒绝匹配已知诈骗代币签名的部署。
• 市场硬化：对代理注册表调用实施更严格的验证，并限制允许的代币合约集合，降低中心合约的攻击面。
• 审计工具：将已识别的高风险交互模式编码为静态分析工具（如 Slither、MythX）的规则集，以在交易上链前标记可疑的交易流。
• 用户级警报：钱包和 NFT 浏览器可以在交易经过高风险模式或与被标记的代理注册表交互时实时显示警告。
• 政策与治理：监管机构和社区黑名单可以优先监控占风险活动主导的 15 % 合约，以更少的资源实现更大的影响。

限制与未来工作

• 标签可靠性：诈骗代币标签依赖外部阻止列表，这些列表可能包含误报/漏报；更可靠的真实标签将提升风险分类。
• 时间动态：本研究将数据集视为静态；未来工作应研究随着新标准（如 ERC‑721A、ERC‑1155 扩展）的出现，交互模式如何演变。
• 跨链范围：分析仅限于以太坊；将方法扩展到 L2 和其他兼容 EVM 的链可能揭示整个生态系统的风险向量。
• 更深层语义：虽然字节码相似性提供了粗略视角，但结合源码层语义（例如通过 Sourcify 上的已验证合约）可能提升对细微恶意逻辑的检测。

结论：通过揭示 NFT 智能合约隐藏的“语义连线”，本研究为开发者、审计员和平台运营者提供可操作的信号，以在风险交易导致财务损失之前发现并遏制它们。

作者

• Yujing Chen
• Xuanming Liu
• Zhiyuan Wan
• Zuobin Wang
• David Lo
• Difan Xie
• Xiaohu Yang

论文信息

• arXiv ID: 2512.17500v1
• 分类: cs.SE
• 发表时间: 2025年12月19日
• PDF: 下载 PDF