2020 年所爆發之 DeFi 安全事件多與智慧合約撰寫有關,其中閃電貸攻擊至少三起,利用重入(Reentrancy)漏洞進行跨合約攻擊至少兩起。利用重入(Reentrancy)漏洞進行攻擊之事件多與 ERC777 合約調用相關,ERC777 為 ERC20 之改進版,在轉帳時會調用相關函數,由於調用外部合約並無法檢測,在合約檢測的方面,現有的工具有 MythX、Mythril、Slither、 Contract-Library、 Echidna、 Manticore、 Oyente、 Securify、 SmartCheck、 Octopus、 sFuzz、 Vertigo 等等,這些工具檢測的方式多是以比對目前資料庫所蒐集到的漏洞程式碼來做比對,進行判斷是否與資料庫的內容一致,來達成檢測的手法,不同工具各有優缺,針對跨合約函數調用相關的漏洞有其侷限性。
因此以如何應對相關攻擊為目標,藉由解析攻擊手法及統整智慧合約方面之漏洞,提出解決方法與建議,使得在開發過程中除了以往利用智慧合約檢測工具、全面之安全審計、保險方式等等以外,可以更安全之撰寫方式保護智慧合約,從根本避免外部調用所引起之漏洞,使分散式金融產品於上架後可以將遭到攻擊之風險降至最低。
主要研究聚焦於智慧合約安全檢測及防護,熟悉常見攻擊樣態,曾於「HITCON PEACE 2022 CyberSec Salon」、「E-Security 2020 資安論壇」、「2020 EMPOWER YOURSELF 發掘資安新創」等活動分享分散式金融於智慧合約新興安全議題及智慧合約檢測技術。