論文の概要: CONTRACTFIX: A Framework for Automatically Fixing Vulnerabilities in Smart Contracts

• arxiv url: http://arxiv.org/abs/2307.08912v2
• Date: Sat, 22 Jul 2023 19:48:39 GMT
• ステータス: 処理完了
• システム内更新日: 2023-10-23 17:12:00.895459
• Title: CONTRACTFIX: A Framework for Automatically Fixing Vulnerabilities in Smart Contracts
• Title（参考訳）: CONTRACTFIX:スマートコントラクトにおける脆弱性の自動修正フレームワーク
• Authors: Pengcheng and Peng and Yun and Qingzhao and Tao and Dawn and Prateek and Sanjeev and Zhuotao and Xusheng
• Abstract要約: ContractFixは、脆弱なスマートコントラクトのためのセキュリティパッチを自動的に生成するフレームワークである。 ユーザーは、自動的にパッチを適用し、パッチされたコントラクトを検証するセキュリティ修正ツールとして使用することができる。
• 参考スコア（独自算出の注目度）: 12.68736241704817
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: The increased adoption of smart contracts in many industries has made them an attractive target for cybercriminals, leading to millions of dollars in losses. Thus, deploying smart contracts with detected vulnerabilities (known to developers) are not acceptable, and fixing all the detected vulnerabilities is needed, which incurs high manual labor cost without effective tool support. To fill this need, in this paper, we propose ContractFix, a novel framework that automatically generates security patches for vulnerable smart contracts. ContractFix is a general framework that can incorporate different fix patterns for different types of vulnerabilities. Users can use it as a security fix-it tool that automatically applies patches and verifies the patched contracts before deploying the contracts. To address the unique challenges in fixing smart contract vulnerabilities, given an input smart contract, \tool conducts our proposed ensemble identification based on multiple static verification tools to identify vulnerabilities that are amenable for automatic fix. Then, ContractFix generates patches using template-based fix patterns and conducts program analysis (program dependency computation and pointer analysis) for smart contracts to accurately infer and populate the parameter values for the fix patterns. Finally, ContractFix performs static verification that guarantees the patched contract is free of vulnerabilities. Our evaluations on $144$ real vulnerable contracts demonstrate that \tool can successfully fix $94\%$ of the detected vulnerabilities ($565$ out of $601$) and preserve the expected behaviors of the smart contracts.
• Abstract（参考訳）: 多くの業界でスマートコントラクトが採用され、サイバー犯罪者にとって魅力的なターゲットとなり、数百万ドルの損失をもたらした。 したがって、検出された脆弱性(開発者によって知られている)によるスマートコントラクトのデプロイは受け入れられず、検出された脆弱性をすべて修正する必要がある。 このニーズを満たすために,本稿では,脆弱なスマートコントラクトに対してセキュリティパッチを自動的に生成する新しいフレームワークであるcontractfixを提案する。 ContractFixは、さまざまなタイプの脆弱性に対して、さまざまな修正パターンを組み込むことのできる一般的なフレームワークである。 ユーザは、自動的にパッチを適用し、コントラクトをデプロイする前にパッチされたコントラクトを検証するセキュリティ修正ツールとして利用することができる。 スマートコントラクト脆弱性の修正におけるユニークな課題に対処するために,入力スマートコントラクトを前提として,複数の静的検証ツールに基づいたアンサンブル識別を行い,自動修正可能な脆弱性を識別する。 次に、contractfixはテンプレートベースのフィクスパターンを使用してパッチを生成し、スマートコントラクトのプログラム解析(プログラム依存性計算とポインタ分析)を行い、フィクスパターンのパラメータ値を正確に推論し、ポピュレートする。 最後に、ContractFixは、パッチされたコントラクトが脆弱性のないことを保証する静的検証を実行する。 実際の脆弱なコントラクトに対する144ドルの評価は、検出された脆弱性の9,4\%(601ドルのうち565ドル)の修正に成功し、スマートコントラクトの期待される動作を維持できることを示している。

関連論文リスト

• ContractTinker: LLM-Empowered Vulnerability Repair for Real-World Smart Contracts [8.756175353426304]
  スマートコントラクトは、特に現実世界の脆弱性に直面している場合、攻撃者によって悪用される可能性がある。 このリスクを軽減するため、開発者はプロジェクトのデプロイ前に潜在的な脆弱性を特定するために、サードパーティの監査サービスに依存することが多い。 既存のパターンベースの修復ツールは、高レベルのセマンティック理解が欠如しているために、現実世界の脆弱性に対処できないことが多い。
  論文  参考訳（メタデータ） (2024-09-15T08:24:01Z)
• On the Resilience of Multi-Agent Systems with Malicious Agents [58.79302663733702]
  本稿では,悪意のあるエージェント下でのマルチエージェントシステムのレジリエンスについて検討する。 我々は、任意のエージェントを悪意のあるエージェントに変換する2つの方法、AutoTransformとAutoInjectを考案した。 各エージェントが他のエージェントの出力に挑戦するためのメカニズムを導入するか、あるいはメッセージのレビューと修正を行う追加のエージェントを導入することで、システムのレジリエンスを高めることができることを示す。
  論文  参考訳（メタデータ） (2024-08-02T03:25:20Z)
• Versioned Analysis of Software Quality Indicators and Self-admitted Technical Debt in Ethereum Smart Contracts with Ethstractor [2.052808596154225]
  本稿では、バージョン管理されたスマートコントラクトのデータセットを収集する最初のスマートコントラクト収集ツールであるEthstractorを提案する。 収集されたデータセットは、スマートコントラクトの脆弱性の指標として、コードメトリクスの信頼性を評価するために使用される。
  論文  参考訳（メタデータ） (2024-07-22T18:27:29Z)
• Uncover the Premeditated Attacks: Detecting Exploitable Reentrancy Vulnerabilities by Identifying Attacker Contracts [27.242299425486273]
  スマートコントラクトにおける悪名高い脆弱性であるReentrancyは、数百万ドルの損失をもたらしている。 現在のスマートコントラクトの脆弱性検出ツールは、永続的脆弱性を持つコントラクトを識別する上で、高い偽陽性率に悩まされている。 攻撃者の契約を識別することで、再侵入の脆弱性を検出するツールであるBlockWatchdogを提案する。
  論文  参考訳（メタデータ） (2024-03-28T03:07:23Z)
• HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
  信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。 低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。 私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
  論文  参考訳（メタデータ） (2024-01-17T00:56:23Z)
• Vulnerability Scanners for Ethereum Smart Contracts: A Large-Scale Study [44.25093111430751]
  2023年だけでも、そのような脆弱性は数十億ドルを超える巨額の損失をもたらした。 スマートコントラクトの脆弱性を検出し、軽減するために、さまざまなツールが開発されている。 本研究では,既存のセキュリティスキャナの有効性と,現在も継続している脆弱性とのギャップについて検討する。
  論文  参考訳（メタデータ） (2023-12-27T11:26:26Z)
• Survey on Quality Assurance of Smart Contracts [14.34073444030935]
  スマートコントラクトの採用の増加に伴い、セキュリティの確保が重要な問題となっている。 スマートコントラクトの品質保証について,脆弱性,攻撃,防御,ツールサポートについて,系統的に概説する。 スマートコントラクトを効果的に保護するために、さまざまな脆弱性検出ツールを評価し、その有効性を比較するためにラベル付きデータセットを作成しました。
  論文  参考訳（メタデータ） (2023-11-01T03:36:24Z)
• Two Timin': Repairing Smart Contracts With A Two-Layered Approach [3.2154249558826846]
  本稿では,スマートコントラクトの分類と修復のための新しい2層フレームワークを提案する。 Slitherの脆弱性レポートはソースコードと組み合わせて、トレーニング済みのRandomForestClassifier(RFC)とLarge Language Models(LLM)に渡される。 実験は、微調整および急速駆動LLMの有効性を実証した。
  論文  参考訳（メタデータ） (2023-09-14T16:37:23Z)
• Formally Verifying a Real World Smart Contract [52.30656867727018]
  われわれは、Solidityの最新バージョンで書かれた現実世界のスマートコントラクトを正式に検証できるツールを検索する。 本稿では,最近のSolidityで書かれた実世界のスマートコントラクトを正式に検証できるツールについて紹介する。
  論文  参考訳（メタデータ） (2023-07-05T14:30:21Z)
• Sample-Efficient Safety Assurances using Conformal Prediction [57.92013073974406]
  早期警戒システムは、安全でない状況が差し迫ったときに警告を提供することができる。 安全性を確実に向上させるためには、これらの警告システムは証明可能な偽陰性率を持つべきである。 本稿では,共形予測と呼ばれる統計的推論手法とロボット・環境力学シミュレータを組み合わせたフレームワークを提案する。
  論文  参考訳（メタデータ） (2021-09-28T23:00:30Z)
• ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep Neural Network and Transfer Learning [80.85273827468063]
  既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。 スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。 ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
  論文  参考訳（メタデータ） (2021-03-23T15:04:44Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。