去中心化金融（DeFi）催生了许多在传统金融体系中无法实现的新应用。然而，它也引入了新的安全漏洞类型。其中一个例子是代币合约与遵循恒定产品做市商（CPMM）模型的去中心化交易所（DEX）之间的兼容性问题。我们将这类漏洞称为“CPMM兼容性漏洞”，其根源在于代币合约中的缺陷，这些缺陷导致它们与CPMM模型不兼容，从而危及CPMM生态系统中的其他代币。自2022年以来，此类漏洞已被利用了23次，共造成了220万美元的损失。智能合约审计公司BlockSec报告称，仅2023年2月就发生了138起此类漏洞事件。

在本文中，我们提出了CPMMX这一工具，它可以自动检测整个区块链中的CPMM兼容性漏洞。为实现这种可扩展性，我们首先对CPMM兼容性漏洞进行了形式化定义，并发现这些漏洞是由于违反了两个安全不变量而产生的。基于这一发现，我们设计了CPMMX，采用了“先浅层搜索再深层搜索”的两步检测方法：首先通过浅层搜索找到违反安全不变量的交易，然后通过深层搜索进一步分析这些交易，使其对攻击者具有利用价值。我们在两个公共数据集和一个合成数据集上对CPMMX进行了评估，结果发现其检测到的漏洞数量是基线方法的2.5至1.5倍；同时，它的处理速度也更快，F1分数高于基线方法。此外，我们还应用CPMMX对以太坊和币安网络最新区块中的所有合约进行了检测，发现了26个新的漏洞利用机会，这些漏洞总共可能带来15,700美元的收益。