論文の概要: Vulnerability Scanners for Ethereum Smart Contracts: A Large-Scale Study

• arxiv url: http://arxiv.org/abs/2312.16533v1
• Date: Wed, 27 Dec 2023 11:26:26 GMT
• ステータス: 処理完了
• システム内更新日: 2024-03-18 11:18:35.388460
• Title: Vulnerability Scanners for Ethereum Smart Contracts: A Large-Scale Study
• Title（参考訳）: Ethereumスマートコントラクトのための脆弱性スキャナ - 大規模調査
• Authors: Christoph Sendner, Lukas Petzi, Jasper Stang, Alexandra Dmitrienko,
• Abstract要約: 2023年だけでも、そのような脆弱性は数十億ドルを超える巨額の損失をもたらした。 スマートコントラクトの脆弱性を検出し、軽減するために、さまざまなツールが開発されている。 本研究では,既存のセキュリティスキャナの有効性と,現在も継続している脆弱性とのギャップについて検討する。
• 参考スコア（独自算出の注目度）: 44.25093111430751
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Ethereum smart contracts, which are autonomous decentralized applications on the blockchain that manage assets often exceeding millions of dollars, have become primary targets for cyberattacks. In 2023 alone, such vulnerabilities led to substantial financial losses exceeding a billion of US dollars. To counter these threats, various tools have been developed by academic and commercial entities to detect and mitigate vulnerabilities in smart contracts. Our study investigates the gap between the effectiveness of existing security scanners and the vulnerabilities that still persist in practice. We compiled four distinct datasets for this analysis. The first dataset comprises 77,219 source codes extracted directly from the blockchain, while the second includes over 4 million bytecodes obtained from Ethereum Mainnet and testnets. The other two datasets consist of nearly 14,000 manually annotated smart contracts and 373 smart contracts verified through audits, providing a foundation for a rigorous ground truth analysis on bytecode and source code. Using the unlabeled datasets, we conducted a comprehensive quantitative evaluation of 17 vulnerability scanners, revealing considerable discrepancies in their findings. Our analysis of the ground truth datasets indicated poor performance across all the tools we tested. This study unveils the reasons for poor performance and underscores that the current state of the art for smart contract security falls short in effectively addressing open problems, highlighting that the challenge of effectively detecting vulnerabilities remains a significant and unresolved issue.
• Abstract（参考訳）: 数百万ドルを超える資産を管理するブロックチェーン上の自律的な分散アプリケーションであるEthereumスマートコントラクトは、サイバー攻撃の主要なターゲットとなっている。 2023年だけでも、そのような脆弱性は数十億ドルを超える巨額の損失をもたらした。 これらの脅威に対処するため、スマートコントラクトの脆弱性を検出し緩和するために、学術的および商業的な組織によって様々なツールが開発されている。 本研究は,既存のセキュリティスキャナの有効性と,現在も継続している脆弱性とのギャップについて検討する。 この分析のために4つの異なるデータセットをまとめた。 第1データセットは、ブロックチェーンから直接抽出された77,219のソースコードで構成され、第2データセットにはEthereum Mainnetとtestnetから得られた400万以上のバイトコードが含まれている。 他の2つのデータセットは、手動で注釈付けされたスマートコントラクトと監査を通じて検証された373のスマートコントラクトで構成される。 ラベル付きデータセットを用いて,17個の脆弱性スキャナの総合的定量的評価を行った。 根拠となる真実のデータセットの分析では、テストしたすべてのツールのパフォーマンスが低かったことが分かりました。 この研究は、パフォーマンスが低かった理由を明らかにし、スマートコントラクトセキュリティの現在の最先端技術が、オープンな問題に効果的に対処するのに不足していることを強調し、脆弱性を効果的に検出するという課題が重要で未解決の問題のままであることを強調した。

関連論文リスト

• Vulnerability Detection in Ethereum Smart Contracts via Machine Learning: A Qualitative Analysis [0.0]
  スマートコントラクトに対する機械学習の脆弱性検出における技術の現状を分析する。 スマートコントラクトにおける脆弱性検出の精度,スコープ,効率を高めるためのベストプラクティスについて議論する。
  論文  参考訳（メタデータ） (2024-07-26T10:09:44Z)
• Versioned Analysis of Software Quality Indicators and Self-admitted Technical Debt in Ethereum Smart Contracts with Ethstractor [2.052808596154225]
  本稿では、バージョン管理されたスマートコントラクトのデータセットを収集する最初のスマートコントラクト収集ツールであるEthstractorを提案する。 収集されたデータセットは、スマートコントラクトの脆弱性の指標として、コードメトリクスの信頼性を評価するために使用される。
  論文  参考訳（メタデータ） (2024-07-22T18:27:29Z)
• Dual-view Aware Smart Contract Vulnerability Detection for Ethereum [5.002702845720439]
  本報告では,DVDet というデュアルビュー対応スマートコントラクト脆弱性検出フレームワークを提案する。 このフレームワークは最初、スマートコントラクトのソースコードとバイトコードを重み付きグラフに変換し、フローシーケンスを制御する。 データセットの総合的な実験により,我々の手法は脆弱性の検出において他者よりも優れていることが示された。
  論文  参考訳（メタデータ） (2024-06-29T06:47:51Z)
• A Comprehensive Study of Governance Issues in Decentralized Finance Applications [45.033994319846244]
  本稿では,DeFiアプリケーションにおけるガバナンス問題に関する総合的研究について述べる。 私たちは17のWeb3セキュリティ企業から4,446の監査レポートを収集し、構築しています。 スマートコントラクトコードとDeFiホワイトペーパーの相違は、これらのガバナンス問題において中心的な役割を果たす。
  論文  参考訳（メタデータ） (2023-11-02T17:46:59Z)
• Smart Contract and DeFi Security Tools: Do They Meet the Needs of Practitioners? [10.771021805354911]
  スマートコントラクトを狙った攻撃は増加しており、推定645億ドルの損失を生んでいる。 私たちは、目立った攻撃につながる可能性のある脆弱性を特定するために、自動セキュリティツールの有効性に光を当てることを目指しています。 このツールは、われわれのデータセットにおける攻撃のわずか8%を防げた可能性があり、23億ドルの損失のうち1億4900万ドルに相当する。
  論文  参考訳（メタデータ） (2023-04-06T10:27:19Z)
• An Automated Vulnerability Detection Framework for Smart Contracts [18.758795474791427]
  ブロックチェーン上のスマートコントラクトの脆弱性を自動的に検出するフレームワークを提案する。 具体的には、まず、スマートコントラクトのバイトコードから新しい特徴ベクトル生成技術を利用する。 次に、収集したベクトルを新しいメトリック学習ベースディープニューラルネットワーク(DNN)に入力し、検出結果を得る。
  論文  参考訳（メタデータ） (2023-01-20T23:16:04Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)
• Combining Graph Neural Networks with Expert Knowledge for Smart Contract Vulnerability Detection [37.7763374870026]
  既存の契約のセキュリティ分析の取り組みは、労働集約的でスケーリング不能な専門家によって定義された厳格なルールに依存している。 本稿では,正規化グラフからグラフ特徴を抽出する新たな時間的メッセージ伝達ネットワークを提案する。
  論文  参考訳（メタデータ） (2021-07-24T13:16:30Z)
• Smart Contract Vulnerability Detection: From Pure Neural Network to Interpretable Graph Feature and Expert Pattern Fusion [48.744359070088166]
  従来のスマートコントラクトの脆弱性検出方法は、専門家の規則に大きく依存している。 最近のディープラーニングアプローチはこの問題を軽減するが、有用な専門家の知識をエンコードすることができない。 ソースコードから専門家パターンを抽出する自動ツールを開発する。 次に、深いグラフの特徴を抽出するために、コードをセマンティックグラフにキャストします。
  論文  参考訳（メタデータ） (2021-06-17T07:12:13Z)
• ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep Neural Network and Transfer Learning [80.85273827468063]
  既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。 スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。 ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
  論文  参考訳（メタデータ） (2021-03-23T15:04:44Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。