論文の概要: Fuzz on the Beach: Fuzzing Solana Smart Contracts

• arxiv url: http://arxiv.org/abs/2309.03006v2
• Date: Wed, 4 Oct 2023 09:42:17 GMT
• ステータス: 処理完了
• システム内更新日: 2024-03-25 23:09:29.247794
• Title: Fuzz on the Beach: Fuzzing Solana Smart Contracts
• Title（参考訳）: Fuzz on the Beach: ソラナスマートコントラクトのファジィング
• Authors: Sven Smolka, Jens-Rene Giesen, Pascal Winkler, Oussama Draissi, Lucas Davi, Ghassan Karame, Klaus Pohl,
• Abstract要約: 本稿では,Solaraスマートコントラクトのためのバイナリのみのカバレッジ誘導型ファジリングアーキテクチャであるFuzzDelSolを提案する。 FuzzDelSolは、スマートコントラクトインタラクションのようなランタイム仕様を忠実にモデル化します。 6049のスマートコントラクトに対する評価は,FuzzDelSolのバグオーラクルが高精度かつリコール可能なバグを発見できることを示している。
• 参考スコア（独自算出の注目度）: 3.6618081664084583
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Solana has quickly emerged as a popular platform for building decentralized applications (DApps), such as marketplaces for non-fungible tokens (NFTs). A key reason for its success are Solana's low transaction fees and high performance, which is achieved in part due to its stateless programming model. Although the literature features extensive tooling support for smart contract security, current solutions are largely tailored for the Ethereum Virtual Machine. Unfortunately, the very stateless nature of Solana's execution environment introduces novel attack patterns specific to Solana requiring a rethinking for building vulnerability analysis methods. In this paper, we address this gap and propose FuzzDelSol, the first binary-only coverage-guided fuzzing architecture for Solana smart contracts. FuzzDelSol faithfully models runtime specifics such as smart contract interactions. Moreover, since source code is not available for the large majority of Solana contracts, FuzzDelSol operates on the contract's binary code. Hence, due to the lack of semantic information, we carefully extracted low-level program and state information to develop a diverse set of bug oracles covering all major bug classes in Solana. Our extensive evaluation on 6049 smart contracts shows that FuzzDelSol's bug oracles find bugs with a high precision and recall. To the best of our knowledge, this is the largest evaluation of the security landscape on the Solana mainnet.
• Abstract（参考訳）: Solanaはすぐに、非Fungible tokens(NFT)のマーケットプレイスなど、分散アプリケーション(DApps)を構築するための人気のあるプラットフォームとして登場した。 その成功の主な理由は、Solaraの低いトランザクション手数料と高いパフォーマンスであり、その一部はステートレスプログラミングモデルによって達成されている。 文献にはスマートコントラクトセキュリティのための広範囲なツーリングサポートがあるが、現在のソリューションはEthereum仮想マシンにほぼ適している。 残念ながら、Solanaの実行環境の非常にステートレスな性質は、脆弱性分析手法を構築するための再考を必要とするSolana特有の新しい攻撃パターンを導入している。 本稿では,このギャップに対処し,Solaraスマートコントラクトのためのバイナリのみのカバレッジ誘導型ファジリングアーキテクチャであるFuzzDelSolを提案する。 FuzzDelSolは、スマートコントラクトインタラクションのようなランタイム仕様を忠実にモデル化します。 さらに、ソースコードはSolana契約の大部分で利用できないため、FuzzDelSolは契約のバイナリコードで動作する。 そのため,意味情報がないため,我々は低レベルのプログラムと状態情報を慎重に抽出し,Solanaのすべての主要なバグクラスをカバーする多様なバグオーラクルを開発した。 6049のスマートコントラクトに対する広範な評価は、FuzzDelSolのバグオーラクルが、高い精度でバグを見つけ、リコールしていることを示している。 私たちの知る限りでは、これはSolanaのメインネットにおけるセキュリティの状況に関する最大の評価です。

関連論文リスト

• LogiCity: Advancing Neuro-Symbolic AI with Abstract Urban Simulation [60.920536939067524]
  我々は,複数の動的エージェントを持つ都市型環境を対象とした,カスタマイズ可能な一階述語論理(FOL)に基づく最初のシミュレータであるLogiCityを紹介する。 LogiCityは、IsAmbulance(X)やIsClose(X, Y)のような意味的および空間的概念を用いた多様な都市要素をモデル化する LogiCityの重要な機能は、ユーザ設定可能な抽象化のサポートであり、論理的推論のためにカスタマイズ可能なシミュレーションの複雑さを可能にする。
  論文  参考訳（メタデータ） (2024-11-01T17:59:46Z)
• Are LLM-based methods good enough for detecting unfair terms of service? [67.49487557224415]
  大規模言語モデル(LLM)は、長いテキストベースの文書を解析するのに適している。 プライバシーポリシーの集合に対して個別に適用された12の質問からなるデータセットを構築します。 いくつかのオープンソースモデルは、いくつかの商用モデルと比較して高い精度を提供できる。
  論文  参考訳（メタデータ） (2024-08-24T09:26:59Z)
• Vulseye: Detect Smart Contract Vulnerabilities via Stateful Directed Graybox Fuzzing [15.974697197575304]
  Vulseyeは、脆弱性によってガイドされるスマートコントラクトのためのステートフルな指示付きグレーボックスファザである。 我々は、Vulseyeのテストターゲットとして、Code TargetsとState Targetsをファジリングループに導入する。 最先端のファッツェと比較して、ヴァルゼーは優れた効果と効率を示した。
  論文  参考訳（メタデータ） (2024-08-19T16:03:03Z)
• Identifying Smart Contract Security Issues in Code Snippets from Stack Overflow [34.79673982473015]
  SOCheckerは、不完全なSOスマートコントラクトコードスニペットの潜在的な脆弱性を特定するツールである。 その結果、SOCheckerのF1スコアは68.2%で、GPT-3.5とGPT-4を大きく上回った。 この結果から,Q&A Webサイトのコードスニペットのセキュリティ向上の必要性が浮き彫りになった。
  論文  参考訳（メタデータ） (2024-07-18T08:25:16Z)
• Defying the Odds: Solana's Unexpected Resilience in Spite of the Security Challenges Faced by Developers [7.29491274634436]
  我々は90分間のスマートコントラクトコードレビュータスクからなるSolanaプラットフォームに関する総合的研究を行った。 私たちの研究は、コードレビュータスクにおいて重要なセキュリティ脆弱性をすべて検出できる参加者は誰もいないことを非常に恐れています。 これらの課題にもかかわらず、現在デプロイされているSolanaスマートコントラクトの自動分析は、脆弱性の頻度が0.3%未満であることを驚くほど示唆しています。
  論文  参考訳（メタデータ） (2024-06-19T14:42:33Z)
• Husky: A Unified, Open-Source Language Agent for Multi-Step Reasoning [67.26776442697184]
  我々はHuskyを紹介した。Huskyは総合的でオープンソースの言語エージェントで、統一されたアクション空間について推論することを学ぶ。 ハスキーは、(1)与えられたタスクを解決するために次のアクションを生成すること、2)エキスパートモデルを使用してアクションを実行すること、の2つの段階を繰り返す。 実験の結果,Huskyは14の評価データセットで先行言語エージェントよりも優れていた。
  論文  参考訳（メタデータ） (2024-06-10T17:07:25Z)
• MuFuzz: Sequence-Aware Mutation and Seed Mask Guidance for Blockchain Smart Contract Fuzzing [19.606053533275958]
  スマートコントラクトファズリングのためのシーケンシャル・アウェア・ミュータントとシードマスク誘導戦略を開発した。 設計を MuFuzz という新しいスマートコントラクトファザに実装し,それを3つのベンチマークで広範囲に評価する。 全体として、MuFuzzは最先端のファズーよりも高いブランチカバレッジ(25%まで)を実現し、既存のバグ検知器よりも30%多くのバグを検出する。
  論文  参考訳（メタデータ） (2023-12-07T18:32:19Z)
• ItyFuzz: Snapshot-Based Fuzzer for Smart Contract [5.43042231820643]
  スマートコントラクトをテストするために,スナップショットベースのファジィファジィイティファジィを導入する。 ItyFuzzでは、トランザクションのシーケンスを保存して変更するのではなく、ステートとシングルトントランザクションをスナップショットします。 ItyFuzzは、既存のファッジャを指導的カバレッジで上回り、オンチェーンプロジェクトの現実的なエクスプロイトを素早く見つけて生成することができる。
  論文  参考訳（メタデータ） (2023-06-29T17:36:08Z)
• The Sample Complexity of Online Contract Design [120.9833763323407]
  オンライン環境での隠れアクションの主エージェント問題について検討する。 各ラウンドにおいて、主席は、各結果に基づいてエージェントへの支払いを指定する契約を投稿する。 エージェントは、自身のユーティリティを最大化する戦略的な行動選択を行うが、プリンシパルによって直接観察できない。
  論文  参考訳（メタデータ） (2022-11-10T17:59:42Z)
• Smart Contract Vulnerability Detection: From Pure Neural Network to Interpretable Graph Feature and Expert Pattern Fusion [48.744359070088166]
  従来のスマートコントラクトの脆弱性検出方法は、専門家の規則に大きく依存している。 最近のディープラーニングアプローチはこの問題を軽減するが、有用な専門家の知識をエンコードすることができない。 ソースコードから専門家パターンを抽出する自動ツールを開発する。 次に、深いグラフの特徴を抽出するために、コードをセマンティックグラフにキャストします。
  論文  参考訳（メタデータ） (2021-06-17T07:12:13Z)
• ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep Neural Network and Transfer Learning [80.85273827468063]
  既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。 スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。 ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
  論文  参考訳（メタデータ） (2021-03-23T15:04:44Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。