論文の概要: Automated Attack Synthesis for Constant Product Market Makers

• arxiv url: http://arxiv.org/abs/2404.05297v1
• Date: Mon, 8 Apr 2024 08:35:15 GMT
• ステータス: 処理完了
• システム内更新日: 2024-04-09 18:41:48.754254
• Title: Automated Attack Synthesis for Constant Product Market Makers
• Title（参考訳）: 一定製品市場メーカーのための自動攻撃合成
• Authors: Sujin Han, Jinseo Kim, Sung-Ju Lee, Insu Yun,
• Abstract要約: 構成可能性バグ(Composability bug)とは、複数のスマートコントラクトが連携する際の誤った動作につながる問題を指す。 CPMM-Exploiterは、構成可能性バグのエンドツーエンドエクスプロイトを自動的に検出し、生成する。 18の新たなエクスプロイトを成功させ、合計で12.9万米ドルの利益を得ることができた。
• 参考スコア（独自算出の注目度）: 7.276711049655224
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Decentralized Finance enables many novel applications that were impossible in traditional finances. However, it also introduces new types of vulnerabilities, such as composability bugs. The composability bugs refer to issues that lead to erroneous behaviors when multiple smart contracts operate together. One typical example of composability bugs is those between token contracts and Constant Product Market Makers (CPMM), the most widely used model for Decentralized Exchanges. Since 2022, 23 exploits of such kind have resulted in a total loss of 2.2M USD. BlockSec, a smart contract auditing company, once reported that 138 exploits of such kind occurred just in February 2023. We propose CPMM-Exploiter, which automatically detects and generates end-to-end exploits for CPMM composability bugs. Generating such end-to-end exploits is challenging due to the large search space of multiple contracts and various fees involved with financial services. To tackle this, we investigated real-world exploits regarding these vulnerabilities and identified that they arise due to violating two safety invariants. Based on this observation, we implemented CPMM-Exploiter, a new grammar-based fuzzer targeting the detection of these bugs. CPMM-Exploiter uses fuzzing to find transactions that break the invariants. It then refines these transactions to make them profitable for the attacker. We evaluated CPMM-Exploiter on two real-world exploit datasets. CPMM-Exploiter obtained recalls of 0.91 and 0.89, respectively, while five baselines achieved maximum recalls of 0.36 and 0.58, respectively. We further evaluated CPMM-Exploiter by running it on the latest blocks of the Ethereum and Binance networks. It successfully generated 18 new exploits, which can result in 12.9K USD profit in total.
• Abstract（参考訳）: 分散金融は、従来の金融では不可能だった多くの新しい応用を可能にする。 しかし、コンポーザビリティのバグなど、新しいタイプの脆弱性も導入されている。 構成可能性のバグは、複数のスマートコントラクトが連携する際の誤った振る舞いにつながる問題を指す。 構成可能性のバグの典型的な例は、トークン契約と、分散取引における最も広く使われているモデルであるCPMM(Constant Product Market Makers)の間のバグである。 2022年以降、23回の攻撃により合計220万USドルが失われた。 スマートコントラクト監査会社であるBlockSecは、2023年2月に138件のエクスプロイトが発生したと報告している。 本稿では,CPMMコンポーザビリティバグに対するエンドツーエンドのエクスプロイトを自動的に検出し,生成するCPMM-Exploiterを提案する。 このようなエンドツーエンドのエクスプロイトの生成は、複数の契約の巨大な検索スペースと、金融サービスに関連するさまざまな手数料のために困難である。 この問題に対処するために,これらの脆弱性に関する現実世界のエクスプロイトを調査し,それらが2つの安全不変量に違反して発生することを確認した。 そこで我々は,これらのバグの検出を目的とした新しい文法ベースのファズーであるCPMM-Exploiterを実装した。 CPMM-Exploiterはファジィを使って不変性を壊すトランザクションを見つける。 そして、これらのトランザクションを洗練して、攻撃者に利益をもたらす。 実世界の2つのエクスプロイトデータセット上でCPMM-Exploiterを評価した。 CPMM-Exploiterはそれぞれ0.91と0.89のリコールを獲得し、5つのベースラインはそれぞれ0.36と0.58のリコールを達成した。 さらに,EthereumおよびBinanceネットワークの最新ブロック上でCPMM-Exploiterを動作させることにより,CPMM-Exploiterの評価を行った。 18の新たなエクスプロイトを成功させ、合計で12.9万米ドルの利益を得ることができた。

関連論文リスト

• SmartInv: Multimodal Learning for Smart Contract Invariant Inference [10.468390413756863]
  We present SmartInv, a accurate and fast smart contract invariant inference framework。 私たちの重要な洞察は、スマートコントラクトの期待される振る舞いは、マルチモーダル情報に対する理解と推論に依存している、ということです。 SmartInvを実世界の契約で評価し、数百万ドルの損失をもたらしたバグを再発見しました。
  論文  参考訳（メタデータ） (2024-11-14T06:28:57Z)
• ML Study of MaliciousTransactions in Ethereum [0.0]
  本稿では,悪意のある契約を検出するための2つのアプローチを提案する。 1つはOpcodeを使用し、もう1つはGPT2に依存し、もう1つはSolidityソースとLORA微調整のCodeLlamaを使用している。
  論文  参考訳（メタデータ） (2024-08-16T13:50:04Z)
• Demystifying Invariant Effectiveness for Securing Smart Contracts [8.848934430494088]
  本稿では,上位監査会社やセキュリティ専門家が支持する,著名なプロトコルに展開する8つのカテゴリの23種類の不変量について検討した。 我々は、その履歴トランザクションデータに基づいて、所定の契約用にカスタマイズされた新しい不変量を動的に生成するツールTrace2Invを開発した。 以上の結果から,最も有効な不変ガード単独で,ガスオーバーヘッドを最小限に抑えた27種のうち18種をブロックできることが判明した。
  論文  参考訳（メタデータ） (2024-04-22T20:59:09Z)
• Vulnerability Scanners for Ethereum Smart Contracts: A Large-Scale Study [44.25093111430751]
  2023年だけでも、そのような脆弱性は数十億ドルを超える巨額の損失をもたらした。 スマートコントラクトの脆弱性を検出し、軽減するために、さまざまなツールが開発されている。 本研究では,既存のセキュリティスキャナの有効性と,現在も継続している脆弱性とのギャップについて検討する。
  論文  参考訳（メタデータ） (2023-12-27T11:26:26Z)
• G$^2$uardFL: Safeguarding Federated Learning Against Backdoor Attacks through Attributed Client Graph Clustering [116.4277292854053]
  Federated Learning (FL)は、データ共有なしで協調的なモデルトレーニングを提供する。 FLはバックドア攻撃に弱いため、有害なモデル重みがシステムの整合性を損なう。 本稿では、悪意のあるクライアントの識別を属性グラフクラスタリング問題として再解釈する保護フレームワークであるG$2$uardFLを提案する。
  論文  参考訳（メタデータ） (2023-06-08T07:15:04Z)
• Leveraging Machine Learning for Multichain DeFi Fraud Detection [5.213509776274283]
  本稿では,最も大きなチェーンを含むさまざまなチェーンから特徴を抽出するフレームワークを提案し,広範囲なデータセットで評価する。 XGBoostやニューラルネットワークなど、さまざまな機械学習手法を使用して、DeFiと対話する不正アカウントの検出を識別した。 本稿では,新しいDeFi関連機能の導入により,評価結果が大幅に改善されることを実証する。
  論文  参考訳（メタデータ） (2023-05-17T15:48:21Z)
• Blockchain Large Language Models [65.7726590159576]
  本稿では,異常なブロックチェーントランザクションを検出するための動的,リアルタイムなアプローチを提案する。 提案するツールであるBlockGPTは、ブロックチェーンアクティビティのトレース表現を生成し、大規模な言語モデルをスクラッチからトレーニングして、リアルタイム侵入検出システムとして機能させる。
  論文  参考訳（メタデータ） (2023-04-25T11:56:18Z)
• Do the Rewards Justify the Means? Measuring Trade-Offs Between Rewards and Ethical Behavior in the MACHIAVELLI Benchmark [61.43264961005614]
  我々は、50万以上のリッチで多様なシナリオを含む134個のChoose-Your-Own-Adventureゲームのベンチマークを開発する。 我々は、エージェントの傾向をパワー・シーキングと評価し、不使用を生じさせ、倫理的違反を犯す。 以上の結果から,エージェントは有能かつ道徳的に行動できることが示唆された。
  論文  参考訳（メタデータ） (2023-04-06T17:59:03Z)
• BERTifying the Hidden Markov Model for Multi-Source Weakly Supervised Named Entity Recognition [57.2201011783393]
  条件付き隠れマルコフモデル(CHMM) CHMMは、入力トークンのBERT埋め込みからトークン単位の遷移と放出確率を予測する。 BERTベースのNERモデルを微調整し、ラベルをCHMMで推論する。
  論文  参考訳（メタデータ） (2021-05-26T21:18:48Z)
• ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep Neural Network and Transfer Learning [80.85273827468063]
  既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。 スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。 ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
  論文  参考訳（メタデータ） (2021-03-23T15:04:44Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。