論文の概要: Uncover the Premeditated Attacks: Detecting Exploitable Reentrancy Vulnerabilities by Identifying Attacker Contracts

• arxiv url: http://arxiv.org/abs/2403.19112v1
• Date: Thu, 28 Mar 2024 03:07:23 GMT
• ステータス: 処理完了
• システム内更新日: 2024-03-29 17:32:29.555277
• Title: Uncover the Premeditated Attacks: Detecting Exploitable Reentrancy Vulnerabilities by Identifying Attacker Contracts
• Title（参考訳）: 予防攻撃の発見:アタッカー契約の特定による爆発的リテナント脆弱性の検出
• Authors: Shuo Yang, Jiachi Chen, Mingyuan Huang, Zibin Zheng, Yuan Huang,
• Abstract要約: スマートコントラクトにおける悪名高い脆弱性であるReentrancyは、数百万ドルの損失をもたらしている。 現在のスマートコントラクトの脆弱性検出ツールは、永続的脆弱性を持つコントラクトを識別する上で、高い偽陽性率に悩まされている。 攻撃者の契約を識別することで、再侵入の脆弱性を検出するツールであるBlockWatchdogを提案する。
• 参考スコア（独自算出の注目度）: 27.242299425486273
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Reentrancy, a notorious vulnerability in smart contracts, has led to millions of dollars in financial loss. However, current smart contract vulnerability detection tools suffer from a high false positive rate in identifying contracts with reentrancy vulnerabilities. Moreover, only a small portion of the detected reentrant contracts can actually be exploited by hackers, making these tools less effective in securing the Ethereum ecosystem in practice. In this paper, we propose BlockWatchdog, a tool that focuses on detecting reentrancy vulnerabilities by identifying attacker contracts. These attacker contracts are deployed by hackers to exploit vulnerable contracts automatically. By focusing on attacker contracts, BlockWatchdog effectively detects truly exploitable reentrancy vulnerabilities by identifying reentrant call flow. Additionally, BlockWatchdog is capable of detecting new types of reentrancy vulnerabilities caused by poor designs when using ERC tokens or user-defined interfaces, which cannot be detected by current rule-based tools. We implement BlockWatchdog using cross-contract static dataflow techniques based on attack logic obtained from an empirical study that analyzes attacker contracts from 281 attack incidents. BlockWatchdog is evaluated on 421,889 Ethereum contract bytecodes and identifies 113 attacker contracts that target 159 victim contracts, leading to the theft of Ether and tokens valued at approximately 908.6 million USD. Notably, only 18 of the identified 159 victim contracts can be reported by current reentrancy detection tools.
• Abstract（参考訳）: スマートコントラクトにおける悪名高い脆弱性であるReentrancyは、数百万ドルの損失をもたらしている。 しかし、現在のスマートコントラクトの脆弱性検出ツールは、ルテンシ脆弱性のあるコントラクトを特定する上で、高い偽陽性率に悩まされている。 さらに、検出された再試行契約のごく一部だけが実際にハッカーによって悪用されるため、これらのツールはEthereumエコシステムの現実的な安全性の確保に効果が低い。 本稿では,攻撃者の契約を識別し,永続性の脆弱性を検出するツールであるBlockWatchdogを提案する。 これらの攻撃的契約はハッカーによって展開され、脆弱性のある契約を自動的に悪用する。 攻撃者のコントラクトに注目することで、BlockWatchdogは、再試行的なコールフローを識別することによって、真に悪用可能な再試行脆弱性を効果的に検出する。 さらにBlockWatchdogは、ECCトークンやユーザ定義インターフェースを使用する場合、設計が貧弱なため、現在のルールベースのツールでは検出できない、新たなタイプのレジリエンス脆弱性を検出することができる。 我々は,281件の攻撃インシデントから攻撃契約を分析する実証的研究から得られた攻撃ロジックに基づいて,クロスコントラクションな静的データフロー技術を用いてBlockWatchdogを実装した。 BlockWatchdogは421,889のEthereumコントラクトバイトコードで評価され、159の被害者契約をターゲットとする113のアタッカー契約を特定し、Etherの盗難と約908.6百万USDのトークンに繋がった。 特に159件の被害者契約のうち18件のみが、現在の再侵入検知ツールによって報告できる。

関連論文リスト

• Vulnerability anti-patterns in Solidity: Increasing smart contracts security by reducing false alarms [0.0]
  我々は、現在の分析の統合と拡張が実現可能なだけでなく、スマートコントラクトセキュリティにおける次の論理的なステップであることを示す。 開発者中心の脆弱性の概念から,Solidityコードの形態と動的性に関する軽量な静的チェックを提案する。
  論文  参考訳（メタデータ） (2024-10-22T17:21:28Z)
• All Your Tokens are Belong to Us: Demystifying Address Verification Vulnerabilities in Solidity Smart Contracts [24.881450403784786]
  検証のプロセスにおける脆弱性は、大きなセキュリティ問題を引き起こす可能性がある。 静的EVMオペコードシミュレーションに基づく軽量なテナントアナライザであるAVVERIFIERの設計と実装を行う。 500万以上のスマートコントラクトを大規模に評価した結果,コミュニティが公表していない812の脆弱性のあるスマートコントラクトを特定しました。
  論文  参考訳（メタデータ） (2024-05-31T01:02:07Z)
• Steal Now and Attack Later: Evaluating Robustness of Object Detection against Black-box Adversarial Attacks [47.9744734181236]
  AIサービスの潜在的な脆弱性を悪用するために、"steal now, later"攻撃を使用できる。 攻撃の平均費用は1ドル未満で、AIセキュリティに重大な脅威をもたらす。
  論文  参考訳（メタデータ） (2024-04-24T13:51:56Z)
• LookAhead: Preventing DeFi Attacks via Unveiling Adversarial Contracts [15.071155232677643]
  分散型金融(DeFi)インシデントは、30億ドルを超える経済的損害をもたらした。 現在の検出ツールは、攻撃活動を効果的に識別する上で重大な課題に直面している。 本稿では,敵対的契約の特定に焦点をあてた,DeFi攻撃検出のための新たな方向を提案する。
  論文  参考訳（メタデータ） (2024-01-14T11:39:33Z)
• Vulnerability Scanners for Ethereum Smart Contracts: A Large-Scale Study [44.25093111430751]
  2023年だけでも、そのような脆弱性は数十億ドルを超える巨額の損失をもたらした。 スマートコントラクトの脆弱性を検出し、軽減するために、さまざまなツールが開発されている。 本研究では,既存のセキュリティスキャナの有効性と,現在も継続している脆弱性とのギャップについて検討する。
  論文  参考訳（メタデータ） (2023-12-27T11:26:26Z)
• CONTRACTFIX: A Framework for Automatically Fixing Vulnerabilities in Smart Contracts [12.68736241704817]
  ContractFixは、脆弱なスマートコントラクトのためのセキュリティパッチを自動的に生成するフレームワークである。 ユーザーは、自動的にパッチを適用し、パッチされたコントラクトを検証するセキュリティ修正ツールとして使用することができる。
  論文  参考訳（メタデータ） (2023-07-18T01:14:31Z)
• Blockchain Large Language Models [65.7726590159576]
  本稿では,異常なブロックチェーントランザクションを検出するための動的,リアルタイムなアプローチを提案する。 提案するツールであるBlockGPTは、ブロックチェーンアクティビティのトレース表現を生成し、大規模な言語モデルをスクラッチからトレーニングして、リアルタイム侵入検出システムとして機能させる。
  論文  参考訳（メタデータ） (2023-04-25T11:56:18Z)
• An Automated Vulnerability Detection Framework for Smart Contracts [18.758795474791427]
  ブロックチェーン上のスマートコントラクトの脆弱性を自動的に検出するフレームワークを提案する。 具体的には、まず、スマートコントラクトのバイトコードから新しい特徴ベクトル生成技術を利用する。 次に、収集したベクトルを新しいメトリック学習ベースディープニューラルネットワーク(DNN)に入力し、検出結果を得る。
  論文  参考訳（メタデータ） (2023-01-20T23:16:04Z)
• Untargeted Backdoor Attack against Object Detection [69.63097724439886]
  我々は,タスク特性に基づいて,無目標で毒のみのバックドア攻撃を設計する。 攻撃によって、バックドアがターゲットモデルに埋め込まれると、トリガーパターンでスタンプされたオブジェクトの検出を失う可能性があることを示す。
  論文  参考訳（メタデータ） (2022-11-02T17:05:45Z)
• ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep Neural Network and Transfer Learning [80.85273827468063]
  既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。 スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。 ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
  論文  参考訳（メタデータ） (2021-03-23T15:04:44Z)
• Detection as Regression: Certified Object Detection by Median Smoothing [50.89591634725045]
  この研究は、ランダム化平滑化による認定分類の最近の進歩によって動機付けられている。 我々は、$ell$-bounded攻撃に対するオブジェクト検出のための、最初のモデル非依存、トレーニング不要、認定された防御条件を得る。
  論文  参考訳（メタデータ） (2020-07-07T18:40:19Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。