以太坊智能合约因其可信交易、源码公开、不可篡改的特点,被广泛应用于金融、游戏以及社交媒体等领域。尽管在可信交易方面具有得天独厚的优势,智能合约作为一门新兴技术,缺乏成熟完善的安全编码规范,因此很有可能存在着安全漏洞。智能合约中存在的安全漏洞,不仅有可能会影响智能合约功能的正常使用,而且很有可能会对合约用户造成巨大的财产损失。因此,对智能合约进行安全性检测尤为重要。本文针对已有研究关注较少而又危害较大的三类智能合约安全漏洞:任意存储写入漏洞、任意目的地址跳转漏洞和gas耗尽拒绝服务漏洞,设计并实现了一个自动化的安全审计系统。主要研究内容如下:(1)自动化检测方案的提出。通过对存在漏洞的具体合约实例从代码层面和汇编码层面进行分析,总结出漏洞产生的原理和条件,提出相应的自动化检测方案。针对任意存储写入漏洞,通过检测合约执行指令流中“SSTORE”指令参数值可取值范围来检测合约是否存在漏洞;针对任意目的地址跳转漏洞,通过检测合约执行指令流中跳转指令目的地址取值范围来检测合约是否存在漏洞;针对gas耗尽拒绝服务漏洞,利用注解技术判断合约执行流中是否存在循环,同时检测循环中是否存在“SSTORE”指令来检测合约是否存在漏洞。(2)反汇编器的实现。在研究了以太坊汇编语言指令和以太坊虚拟机结构的基础上,实现了一个反汇编器,能将智能合约二进制代码反汇编为以太坊汇编码,并同时生成LASER符号执行引擎进行符号执行所需要的SVM汇编码。(3)系统设计与实现。利用LASER符号执行引擎生成的基本块信息,构建基本块之间的边,同时生成合约代码的控制流图,以辅助智能合约安全性分析。同时利用LASER符号执行引擎,实现提出的智能合约自动化漏洞检测方案,完成自动化安全审计系统。(4)测试与分析。本文对互联网上公开的750份智能合约应用进行了测试,测试结果表明本文实现的系统能够有效地支持上述三类智能合约漏洞的检测,且漏洞检测准确率达到了80%以上。