論文の概要: CONTRACTFIX: A Framework for Automatically Fixing Vulnerabilities in
Smart Contracts
- arxiv url: http://arxiv.org/abs/2307.08912v2
- Date: Sat, 22 Jul 2023 19:48:39 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-23 17:12:00.895459
- Title: CONTRACTFIX: A Framework for Automatically Fixing Vulnerabilities in
Smart Contracts
- Title(参考訳): CONTRACTFIX:スマートコントラクトにおける脆弱性の自動修正フレームワーク
- Authors: Pengcheng and Peng and Yun and Qingzhao and Tao and Dawn and Prateek
and Sanjeev and Zhuotao and Xusheng
- Abstract要約: ContractFixは、脆弱なスマートコントラクトのためのセキュリティパッチを自動的に生成するフレームワークである。
ユーザーは、自動的にパッチを適用し、パッチされたコントラクトを検証するセキュリティ修正ツールとして使用することができる。
- 参考スコア(独自算出の注目度): 12.68736241704817
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: The increased adoption of smart contracts in many industries has made them an
attractive target for cybercriminals, leading to millions of dollars in losses.
Thus, deploying smart contracts with detected vulnerabilities (known to
developers) are not acceptable, and fixing all the detected vulnerabilities is
needed, which incurs high manual labor cost without effective tool support. To
fill this need, in this paper, we propose ContractFix, a novel framework that
automatically generates security patches for vulnerable smart contracts.
ContractFix is a general framework that can incorporate different fix patterns
for different types of vulnerabilities. Users can use it as a security fix-it
tool that automatically applies patches and verifies the patched contracts
before deploying the contracts. To address the unique challenges in fixing
smart contract vulnerabilities, given an input smart contract, \tool conducts
our proposed ensemble identification based on multiple static verification
tools to identify vulnerabilities that are amenable for automatic fix. Then,
ContractFix generates patches using template-based fix patterns and conducts
program analysis (program dependency computation and pointer analysis) for
smart contracts to accurately infer and populate the parameter values for the
fix patterns. Finally, ContractFix performs static verification that guarantees
the patched contract is free of vulnerabilities. Our evaluations on $144$ real
vulnerable contracts demonstrate that \tool can successfully fix $94\%$ of the
detected vulnerabilities ($565$ out of $601$) and preserve the expected
behaviors of the smart contracts.
- Abstract(参考訳): 多くの業界でスマートコントラクトが採用され、サイバー犯罪者にとって魅力的なターゲットとなり、数百万ドルの損失をもたらした。
したがって、検出された脆弱性(開発者によって知られている)によるスマートコントラクトのデプロイは受け入れられず、検出された脆弱性をすべて修正する必要がある。
このニーズを満たすために,本稿では,脆弱なスマートコントラクトに対してセキュリティパッチを自動的に生成する新しいフレームワークであるcontractfixを提案する。
ContractFixは、さまざまなタイプの脆弱性に対して、さまざまな修正パターンを組み込むことのできる一般的なフレームワークである。
ユーザは、自動的にパッチを適用し、コントラクトをデプロイする前にパッチされたコントラクトを検証するセキュリティ修正ツールとして利用することができる。
スマートコントラクト脆弱性の修正におけるユニークな課題に対処するために,入力スマートコントラクトを前提として,複数の静的検証ツールに基づいたアンサンブル識別を行い,自動修正可能な脆弱性を識別する。
次に、contractfixはテンプレートベースのフィクスパターンを使用してパッチを生成し、スマートコントラクトのプログラム解析(プログラム依存性計算とポインタ分析)を行い、フィクスパターンのパラメータ値を正確に推論し、ポピュレートする。
最後に、ContractFixは、パッチされたコントラクトが脆弱性のないことを保証する静的検証を実行する。
実際の脆弱なコントラクトに対する144ドルの評価は、検出された脆弱性の9,4\%(601ドルのうち565ドル)の修正に成功し、スマートコントラクトの期待される動作を維持できることを示している。
関連論文リスト
- ContractTinker: LLM-Empowered Vulnerability Repair for Real-World Smart Contracts [8.756175353426304]
スマートコントラクトは、特に現実世界の脆弱性に直面している場合、攻撃者によって悪用される可能性がある。
このリスクを軽減するため、開発者はプロジェクトのデプロイ前に潜在的な脆弱性を特定するために、サードパーティの監査サービスに依存することが多い。
既存のパターンベースの修復ツールは、高レベルのセマンティック理解が欠如しているために、現実世界の脆弱性に対処できないことが多い。
論文 参考訳(メタデータ) (2024-09-15T08:24:01Z) - Versioned Analysis of Software Quality Indicators and Self-admitted Technical Debt in Ethereum Smart Contracts with Ethstractor [2.052808596154225]
本稿では、バージョン管理されたスマートコントラクトのデータセットを収集する最初のスマートコントラクト収集ツールであるEthstractorを提案する。
収集されたデータセットは、スマートコントラクトの脆弱性の指標として、コードメトリクスの信頼性を評価するために使用される。
論文 参考訳(メタデータ) (2024-07-22T18:27:29Z) - SafeAligner: Safety Alignment against Jailbreak Attacks via Response Disparity Guidance [48.36220909956064]
SafeAlignerは、ジェイルブレイク攻撃に対する防御を強化するためのデコード段階で実装された方法論である。
安全性を高めるために訓練されたセンチネルモデルと、よりリスクの高い応答を生成するように設計されたイントルーダモデルである。
SafeAlignerは有害なトークンの発生を低減しつつ、有益トークンの可能性を高めることができることを示す。
論文 参考訳(メタデータ) (2024-06-26T07:15:44Z) - Vulnerability Scanners for Ethereum Smart Contracts: A Large-Scale Study [44.25093111430751]
2023年だけでも、そのような脆弱性は数十億ドルを超える巨額の損失をもたらした。
スマートコントラクトの脆弱性を検出し、軽減するために、さまざまなツールが開発されている。
本研究では,既存のセキュリティスキャナの有効性と,現在も継続している脆弱性とのギャップについて検討する。
論文 参考訳(メタデータ) (2023-12-27T11:26:26Z) - Survey on Quality Assurance of Smart Contracts [14.34073444030935]
スマートコントラクトの採用の増加に伴い、セキュリティの確保が重要な問題となっている。
スマートコントラクトの品質保証について,脆弱性,攻撃,防御,ツールサポートについて,系統的に概説する。
スマートコントラクトを効果的に保護するために、さまざまな脆弱性検出ツールを評価し、その有効性を比較するためにラベル付きデータセットを作成しました。
論文 参考訳(メタデータ) (2023-11-01T03:36:24Z) - Two Timin': Repairing Smart Contracts With A Two-Layered Approach [3.2154249558826846]
本稿では,スマートコントラクトの分類と修復のための新しい2層フレームワークを提案する。
Slitherの脆弱性レポートはソースコードと組み合わせて、トレーニング済みのRandomForestClassifier(RFC)とLarge Language Models(LLM)に渡される。
実験は、微調整および急速駆動LLMの有効性を実証した。
論文 参考訳(メタデータ) (2023-09-14T16:37:23Z) - Formally Verifying a Real World Smart Contract [52.30656867727018]
われわれは、Solidityの最新バージョンで書かれた現実世界のスマートコントラクトを正式に検証できるツールを検索する。
本稿では,最近のSolidityで書かれた実世界のスマートコントラクトを正式に検証できるツールについて紹介する。
論文 参考訳(メタデータ) (2023-07-05T14:30:21Z) - HCC: A Language-Independent Hardening Contract Compiler for Smart Contracts [5.379572824182189]
我々は,HCCと呼ばれる,最初の実用的なスマートコントラクトコンパイラを提案する。
HCCは、新しい言語に依存しないコードプロパティグラフ(CPG)の表記に基づいて、ソースコードレベルでのセキュリティ強化チェックを挿入する。
論文 参考訳(メタデータ) (2022-03-01T11:25:32Z) - Combining Graph Neural Networks with Expert Knowledge for Smart Contract
Vulnerability Detection [37.7763374870026]
既存の契約のセキュリティ分析の取り組みは、労働集約的でスケーリング不能な専門家によって定義された厳格なルールに依存している。
本稿では,正規化グラフからグラフ特徴を抽出する新たな時間的メッセージ伝達ネットワークを提案する。
論文 参考訳(メタデータ) (2021-07-24T13:16:30Z) - ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep
Neural Network and Transfer Learning [80.85273827468063]
既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。
スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。
ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
論文 参考訳(メタデータ) (2021-03-23T15:04:44Z) - PatchGuard: A Provably Robust Defense against Adversarial Patches via
Small Receptive Fields and Masking [46.03749650789915]
画像の制限領域内の画素を任意に修正することで、機械学習モデルの誤分類を誘発することを目的としている。
そこで我々はPatchGuardという汎用防衛フレームワークを提案する。このフレームワークは、局所的な敵パッチに対して高い清潔さを維持しつつ、高い堅牢性を達成できる。
論文 参考訳(メタデータ) (2020-05-17T03:38:34Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。