近几年,区块链技术越来越受各国政府和研究机构的关注和重视。智能合约作为区块链2.0的代表技术,以一段可编程的代码形式部署到区块链上,且一旦部署成功就无法修改。如果智能合约本身存在安全漏洞,那么就可能造成极大的损失。因此,在智能合约部署上链前,对其进行安全审计是非常重要的。本文根据以太坊智能合约和Fabric智能合约的常见安全漏洞类型与特征,设计与开发了一个可扩展的智能合约安全审计工具,并使用该工具实现了对以太坊智能合约源代码和Fabric智能合约源代码的安全审计。论文的主要研究内容如下:1.针对当前检测智能合约类型单一和检测效率低等问题,设计了一种可扩展的智能合约安全漏洞检测模型,其主要分为预处理模块、漏洞匹配检测模块和规则库。该模型在漏洞匹配检测算法不变的情况下,通过设计不同的ANTLR4文法规则和安全规则,可实现对不同区块链平台上的智能合约的安全审计。2.基于此模型,设计与开发了一个可扩展的智能合约安全审计工具——Contract Detection。该工具实现了对以太坊智能合约源代码和Fabric智能合约源代码的安全审计,其设计与实现主要完成如下工作:首先,根据Solidity语言和Go语言的语法规范,定义不同的ANTLR4文法规则。而这些自定义的文法规则用于解析智能合约源代码,完成预处理过程。其次,研究与分析常见的以太坊智能合约和Fabric智能合约的漏洞类型,并总结其漏洞特征。根据漏洞特征代码的抽象语法树定义XPath检测模式,将这些XPath检测模式组成不同的规则,形成规则库。最后,实现漏洞匹配检测算法,完成漏洞匹配检测。3.使用Contract Detection工具,对已验证的以太坊智能合约和真实项目中Fabric智能合约进行检测,并对其检测结果进行分析与比较。检测结果表明仍有一部分智能合约源代码中存在一些高危漏洞。该工具为智能合约开发者提供了较好的参考价值,提高了智能合约上链前的安全性。