論文の概要: Characterizing Ethereum Upgradable Smart Contracts and Their Security Implications
- arxiv url: http://arxiv.org/abs/2403.01290v1
- Date: Sat, 2 Mar 2024 19:04:20 GMT
- ステータス: 処理完了
- システム内更新日: 2024-03-18 06:29:47.047157
- Title: Characterizing Ethereum Upgradable Smart Contracts and Their Security Implications
- Title(参考訳): Ethereumのアップグレード可能なスマートコントラクトの特徴とセキュリティへの影響
- Authors: Xiaofan Li, Jin Yang, Jiaqi Chen, Yuzhe Tang, Xing Gao,
- Abstract要約: アップグレード可能なスマートコントラクト(USC)は、デプロイされたスマートコントラクトの変更を可能にするために広く採用されている。
不正使用は新たなセキュリティ問題を引き起こし、攻撃者がUSCとそのユーザをハイジャックする可能性がある。
一般的なUSCパターンを6つまとめて,ソースコードを必要とせずにUSCを識別するツールであるUSCDetectorを開発した。
- 参考スコア(独自算出の注目度): 15.39637800438201
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Upgradeable smart contracts (USCs) have been widely adopted to enable modifying deployed smart contracts. While USCs bring great flexibility to developers, improper usage might introduce new security issues, potentially allowing attackers to hijack USCs and their users. In this paper, we conduct a large-scale measurement study to characterize USCs and their security implications in the wild. We summarize six commonly used USC patterns and develop a tool, USCDetector, to identify USCs without needing source code. Particularly, USCDetector collects various information such as bytecode and transaction information to construct upgrade chains for USCs and disclose potentially vulnerable ones. We evaluate USCDetector using verified smart contracts (i.e., with source code) as ground truth and show that USCDetector can achieve high accuracy with a precision of 96.26%. We then use USCDetector to conduct a large-scale study on Ethereum, covering a total of 60,251,064 smart contracts. USCDetecor constructs 10,218 upgrade chains and discloses multiple real-world USCs with potential security issues.
- Abstract(参考訳): アップグレード可能なスマートコントラクト(USC)は、デプロイされたスマートコントラクトの変更を可能にするために広く採用されている。
USCは開発者に大きな柔軟性をもたらすが、不適切な使用は新たなセキュリティ問題を引き起こし、攻撃者がUSCとそのユーザをハイジャックする可能性がある。
本稿では,USCとその野生におけるセキュリティへの影響を,大規模に評価する。
一般的なUSCパターンを6つまとめて,ソースコードを必要とせずにUSCを識別するツールであるUSCDetectorを開発した。
特にUSCDetectorは、バイトコードやトランザクション情報などのさまざまな情報を収集して、USCのアップグレードチェーンを構築し、潜在的に脆弱な情報を開示する。
我々は,検証済みスマートコントラクト(ソースコードを含む)を根拠としてUSCDetectorを評価し,精度96.26%で精度の高いUSCDetectorを実現することを示す。
次にUSCDetectorを使ってEthereumに関する大規模な研究を行い、合計60,251,064のスマートコントラクトをカバーしています。
USCDetecorは10,218のアップグレードチェーンを構築し、セキュリティ上の問題のある複数の現実のUSCを公開している。
関連論文リスト
- Improving Smart Contract Security with Contrastive Learning-based Vulnerability Detection [8.121484960948303]
スマートコントラクト脆弱性に対するコントラスト学習強化型自動認識手法であるClearを提案する。
特にClearは、契約間のきめ細かい相関情報をキャプチャするために、対照的な学習(CL)モデルを採用している。
その結果,既存のディープラーニング手法よりも9.73%-39.99%高いF1スコアが得られることがわかった。
論文 参考訳(メタデータ) (2024-04-27T09:13:25Z) - Ungeneralizable Examples [70.76487163068109]
学習不能なデータを作成するための現在のアプローチには、小さくて特殊なノイズが組み込まれている。
学習不能データの概念を条件付きデータ学習に拡張し、textbfUntextbf Generalizable textbfExamples (UGEs)を導入する。
UGEは認証されたユーザに対して学習性を示しながら、潜在的なハッカーに対する非学習性を維持している。
論文 参考訳(メタデータ) (2024-04-22T09:29:14Z) - What Can Self-Admitted Technical Debt Tell Us About Security? A
Mixed-Methods Study [6.286506087629511]
自己充足型技術的負債(SATD)
潜在的に悪用可能な脆弱性や セキュリティ上の欠陥に関する 恐ろしい情報源と見なすことができます
本研究は、SATDのセキュリティへの影響を、技術と開発者中心の観点から検討する。
論文 参考訳(メタデータ) (2024-01-23T13:48:49Z) - A Survey and Comparative Analysis of Security Properties of CAN Authentication Protocols [92.81385447582882]
コントロールエリアネットワーク(CAN)バスは車内通信を本質的に安全でないものにしている。
本稿では,CANバスにおける15の認証プロトコルをレビューし,比較する。
実装の容易性に寄与する本質的な運用基準に基づくプロトコルの評価を行う。
論文 参考訳(メタデータ) (2024-01-19T14:52:04Z) - Automated Invariant Generation for Solidity Smart Contracts [2.4181711081104282]
本稿では,Solidityスマートコントラクトのための新しい不変生成フレームワークINVCON+を提案する。
INVCON+は既存の不変検出器であるInvConを拡張して、検証された契約不変量を自動生成する。
我々は、361 ERC20と10 ERC721実世界の契約と、一般的なERC20脆弱性ベンチマークに基づいてINVCON+を評価する。
論文 参考訳(メタデータ) (2024-01-01T03:37:30Z) - RobustGEC: Robust Grammatical Error Correction Against Subtle Context
Perturbation [64.2568239429946]
本稿では,GECシステムのコンテキストロバスト性を評価するためのベンチマークであるRobustGECを紹介する。
現状のGECシステムには, 文脈摂動に対する十分な堅牢性がないことが明らかとなった。
論文 参考訳(メタデータ) (2023-10-11T08:33:23Z) - Hyperfuzzing: black-box security hypertesting with a grey-box fuzzer [2.2000560351723504]
LeakFuzzerは、非干渉セキュリティプロパティとセキュリティフローポリシーを神託として使用することで、技術の状態を前進させる。
LeakFuzzerは、通常のファジィザが検出できるのと同じエラーセットを検出し、セキュアな情報フローポリシー違反を検出することができる。
論文 参考訳(メタデータ) (2023-08-17T16:15:02Z) - Queried Unlabeled Data Improves and Robustifies Class-Incremental
Learning [133.39254981496146]
クラス増分学習(Class-incremental Learning, CIL)は、新たに追加されたクラスを学習することと、以前に学習したクラス知識を保存することの間の悪名高いジレンマに悩まされる。
我々は、連続学習において「自由」な外部ラベル付きデータクエリを活用することを提案する。
CIL-QUDを堅牢化したバージョンにシームレスに拡張する。
論文 参考訳(メタデータ) (2022-06-15T22:53:23Z) - Czech Grammar Error Correction with a Large and Diverse Corpus [64.94696028072698]
文法的誤り訂正(GEC)のための注釈付きチェコ語コーパスを大規模かつ多種多様に導入する。
Grammar Error Correction Corpus for Czech (GECCC)は、非ネイティブ話者によって書かれた高いエラー密度エッセイからウェブサイトテキストまで、さまざまな4つのドメインを提供している。
我々は、トランスフォーマーをベースとしたいくつかのチェコのGECシステムを比較し、将来の研究に強力なベースラインを設定している。
論文 参考訳(メタデータ) (2022-01-14T18:20:47Z) - ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep
Neural Network and Transfer Learning [80.85273827468063]
既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。
スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。
ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
論文 参考訳(メタデータ) (2021-03-23T15:04:44Z) - Eth2Vec: Learning Contract-Wide Code Representations for Vulnerability
Detection on Ethereum Smart Contracts [0.0]
本稿では,脆弱性検出のための機械学習ベースの静的解析ツールであるEth2Vecを提案する。
Eth2Vecは、言語処理のためのニューラルネットワークを介して知識を持つ脆弱なバイトコードの特徴を自動的に学習します。
論文 参考訳(メタデータ) (2021-01-07T05:28:26Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。