論文の概要: CONTRACTFIX: A Framework for Automatically Fixing Vulnerabilities in
Smart Contracts
- arxiv url: http://arxiv.org/abs/2307.08912v2
- Date: Sat, 22 Jul 2023 19:48:39 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-23 17:12:00.895459
- Title: CONTRACTFIX: A Framework for Automatically Fixing Vulnerabilities in
Smart Contracts
- Title(参考訳): CONTRACTFIX:スマートコントラクトにおける脆弱性の自動修正フレームワーク
- Authors: Pengcheng and Peng and Yun and Qingzhao and Tao and Dawn and Prateek
and Sanjeev and Zhuotao and Xusheng
- Abstract要約: ContractFixは、脆弱なスマートコントラクトのためのセキュリティパッチを自動的に生成するフレームワークである。
ユーザーは、自動的にパッチを適用し、パッチされたコントラクトを検証するセキュリティ修正ツールとして使用することができる。
- 参考スコア(独自算出の注目度): 12.68736241704817
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: The increased adoption of smart contracts in many industries has made them an
attractive target for cybercriminals, leading to millions of dollars in losses.
Thus, deploying smart contracts with detected vulnerabilities (known to
developers) are not acceptable, and fixing all the detected vulnerabilities is
needed, which incurs high manual labor cost without effective tool support. To
fill this need, in this paper, we propose ContractFix, a novel framework that
automatically generates security patches for vulnerable smart contracts.
ContractFix is a general framework that can incorporate different fix patterns
for different types of vulnerabilities. Users can use it as a security fix-it
tool that automatically applies patches and verifies the patched contracts
before deploying the contracts. To address the unique challenges in fixing
smart contract vulnerabilities, given an input smart contract, \tool conducts
our proposed ensemble identification based on multiple static verification
tools to identify vulnerabilities that are amenable for automatic fix. Then,
ContractFix generates patches using template-based fix patterns and conducts
program analysis (program dependency computation and pointer analysis) for
smart contracts to accurately infer and populate the parameter values for the
fix patterns. Finally, ContractFix performs static verification that guarantees
the patched contract is free of vulnerabilities. Our evaluations on $144$ real
vulnerable contracts demonstrate that \tool can successfully fix $94\%$ of the
detected vulnerabilities ($565$ out of $601$) and preserve the expected
behaviors of the smart contracts.
- Abstract(参考訳): 多くの業界でスマートコントラクトが採用され、サイバー犯罪者にとって魅力的なターゲットとなり、数百万ドルの損失をもたらした。
したがって、検出された脆弱性(開発者によって知られている)によるスマートコントラクトのデプロイは受け入れられず、検出された脆弱性をすべて修正する必要がある。
このニーズを満たすために,本稿では,脆弱なスマートコントラクトに対してセキュリティパッチを自動的に生成する新しいフレームワークであるcontractfixを提案する。
ContractFixは、さまざまなタイプの脆弱性に対して、さまざまな修正パターンを組み込むことのできる一般的なフレームワークである。
ユーザは、自動的にパッチを適用し、コントラクトをデプロイする前にパッチされたコントラクトを検証するセキュリティ修正ツールとして利用することができる。
スマートコントラクト脆弱性の修正におけるユニークな課題に対処するために,入力スマートコントラクトを前提として,複数の静的検証ツールに基づいたアンサンブル識別を行い,自動修正可能な脆弱性を識別する。
次に、contractfixはテンプレートベースのフィクスパターンを使用してパッチを生成し、スマートコントラクトのプログラム解析(プログラム依存性計算とポインタ分析)を行い、フィクスパターンのパラメータ値を正確に推論し、ポピュレートする。
最後に、ContractFixは、パッチされたコントラクトが脆弱性のないことを保証する静的検証を実行する。
実際の脆弱なコントラクトに対する144ドルの評価は、検出された脆弱性の9,4\%(601ドルのうち565ドル)の修正に成功し、スマートコントラクトの期待される動作を維持できることを示している。
関連論文リスト
- Fixing Smart Contract Vulnerabilities: A Comparative Analysis of
Literature and Developer's Practices [6.09162202256218]
文献で見られるような脆弱性の修正をガイドラインとして挙げる。
開発者がこれらのガイドラインにどの程度準拠しているか、あるいは他の実行可能な共通ソリューションがあるのか、それらが何であるかは明らかではない。
本研究の目的は,開発者が既存のガイドラインを遵守することに関連する知識ギャップを埋めることと,セキュリティ脆弱性に対する新たな,実行可能なソリューションを提案することである。
論文 参考訳(メタデータ) (2024-03-12T09:55:54Z) - Two Timin': Repairing Smart Contracts With A Two-Layered Approach [3.2154249558826846]
本稿では,スマートコントラクトの分類と修復のための新しい2層フレームワークを提案する。
Slitherの脆弱性レポートはソースコードと組み合わせて、トレーニング済みのRandomForestClassifier(RFC)とLarge Language Models(LLM)に渡される。
実験は、微調整および急速駆動LLMの有効性を実証した。
論文 参考訳(メタデータ) (2023-09-14T16:37:23Z) - GPTScan: Detecting Logic Vulnerabilities in Smart Contracts by Combining
GPT with Program Analysis [27.20501643242356]
本稿では,GPTと静的解析を組み合わせたGPTScanを提案する。
各ロジックの脆弱性タイプをシナリオとプロパティに分割することで、GPTScanは候補の脆弱性とGPTをマッチさせる。
人間の監査官が見逃した9つの新たな脆弱性を含む70%以上のリコールで、地上の真実的ロジックの脆弱性を効果的に検出する。
論文 参考訳(メタデータ) (2023-08-07T05:48:53Z) - Formally Verifying a Real World Smart Contract [52.30656867727018]
われわれは、Solidityの最新バージョンで書かれた現実世界のスマートコントラクトを正式に検証できるツールを検索する。
本稿では,最近のSolidityで書かれた実世界のスマートコントラクトを正式に検証できるツールについて紹介する。
論文 参考訳(メタデータ) (2023-07-05T14:30:21Z) - An Automated Vulnerability Detection Framework for Smart Contracts [18.758795474791427]
ブロックチェーン上のスマートコントラクトの脆弱性を自動的に検出するフレームワークを提案する。
具体的には、まず、スマートコントラクトのバイトコードから新しい特徴ベクトル生成技術を利用する。
次に、収集したベクトルを新しいメトリック学習ベースディープニューラルネットワーク(DNN)に入力し、検出結果を得る。
論文 参考訳(メタデータ) (2023-01-20T23:16:04Z) - Pre-deployment Analysis of Smart Contracts -- A Survey [0.27195102129095]
本稿では,スマートコントラクトの脆弱性と方法に関する文献を体系的にレビューする。
具体的には、スマートコントラクトの脆弱性とメソッドを、それらが対処するプロパティによって列挙し分類します。
異なる手法の強みに関するいくつかのパターンがこの分類プロセスを通して現れる。
論文 参考訳(メタデータ) (2023-01-15T12:36:56Z) - Sample-Efficient Safety Assurances using Conformal Prediction [57.92013073974406]
早期警戒システムは、安全でない状況が差し迫ったときに警告を提供することができる。
安全性を確実に向上させるためには、これらの警告システムは証明可能な偽陰性率を持つべきである。
本稿では,共形予測と呼ばれる統計的推論手法とロボット・環境力学シミュレータを組み合わせたフレームワークを提案する。
論文 参考訳(メタデータ) (2021-09-28T23:00:30Z) - Smart Contract Vulnerability Detection: From Pure Neural Network to
Interpretable Graph Feature and Expert Pattern Fusion [48.744359070088166]
従来のスマートコントラクトの脆弱性検出方法は、専門家の規則に大きく依存している。
最近のディープラーニングアプローチはこの問題を軽減するが、有用な専門家の知識をエンコードすることができない。
ソースコードから専門家パターンを抽出する自動ツールを開発する。
次に、深いグラフの特徴を抽出するために、コードをセマンティックグラフにキャストします。
論文 参考訳(メタデータ) (2021-06-17T07:12:13Z) - Towards Variable-Length Textual Adversarial Attacks [68.27995111870712]
データの離散性のため、自然言語処理タスクに対してテキストによる敵意攻撃を行うことは非自明である。
本稿では,可変長テキスト対比攻撃(VL-Attack)を提案する。
本手法は、iwslt14ドイツ語英訳で3,18$ bleuスコアを達成でき、ベースラインモデルより1.47$改善できる。
論文 参考訳(メタデータ) (2021-04-16T14:37:27Z) - ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep
Neural Network and Transfer Learning [80.85273827468063]
既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。
スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。
ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
論文 参考訳(メタデータ) (2021-03-23T15:04:44Z) - (De)Randomized Smoothing for Certifiable Defense against Patch Attacks [136.79415677706612]
我々は、所定の画像とパッチ攻撃サイズを保証する、パッチ攻撃に対する認証可能な防御を導入する。
本手法はランダム化スムースなロバスト性スキームの幅広いクラスに関係している。
その結果,CIFAR-10およびImageNetに対するパッチ攻撃に対する認証済みの防御技術が確立した。
論文 参考訳(メタデータ) (2020-02-25T08:39:46Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。