論文の概要: Automated Attack Synthesis for Constant Product Market Makers
- arxiv url: http://arxiv.org/abs/2404.05297v3
- Date: Thu, 10 Apr 2025 06:19:13 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-04-11 12:23:23.416485
- Title: Automated Attack Synthesis for Constant Product Market Makers
- Title(参考訳): 一定製品市場メーカーのための自動攻撃合成
- Authors: Sujin Han, Jinseo Kim, Sung-Ju Lee, Insu Yun,
- Abstract要約: このような脆弱性の例として、トークンコントラクトと分散交換(DEX)のコンポーザビリティバグがある。
2022年以降、23回の攻撃により合計220万USドルが失われた。
CPMM構成性バグを自動的に検出するツールであるCPMMXを提案する。
- 参考スコア(独自算出の注目度): 7.276711049655224
- License:
- Abstract: Decentralized Finance (DeFi) enables many novel applications that were impossible in traditional finances. However, it also introduces new types of vulnerabilities. An example of such vulnerabilities is a composability bug between token contracts and Decentralized Exchange (DEX) that follows the Constant Product Market Maker (CPMM) model. This type of bug, which we refer to as CPMM composability bug, originates from issues in token contracts that make them incompatible with CPMMs, thereby endangering other tokens within the CPMM ecosystem. Since 2022, 23 exploits of such kind have resulted in a total loss of 2.2M USD. BlockSec, a smart contract auditing company, reported that 138 exploits of such kind occurred just in February 2023. In this paper, we propose CPMMX , a tool that automatically detects CPMM composability bugs across entire blockchains. To achieve such scalability, we first formalized CPMM composability bugs and found that these bugs can be induced by breaking two safety invariants. Based on this finding, we designed CPMMX equipped with a two-step approach, called shallow-then-deep search. In more detail, it first uses shallow search to find transactions that break the invariants. Then, it uses deep search to refine these transactions, making them profitable for the attacker. We evaluated CPMMX against five baselines on two public datasets and one synthetic dataset. In our evaluation, CPMMX detected 2.5x to 1.5x more vulnerabilities compared to baseline methods. It also analyzed contracts significantly faster, achieving higher F1 scores than the baselines. Additionally, we applied CPMMX to all contracts on the latest blocks of the Ethereum and Binance networks and discovered 26 new exploits that can result in 15.7K USD profit in total.
- Abstract(参考訳): 分散ファイナンス(Defi)は、従来のファイナンスでは不可能だった多くの新しいアプリケーションを実現する。
しかし、新しいタイプの脆弱性も導入されている。
このような脆弱性の例として、トークン契約とCPMM(Constant Product Market Maker)モデルに従う分散交換(Decentralized Exchange, DEX)のコンポーザビリティバグがある。
CPMMコンポーザビリティバグと呼ばれるこの種のバグは、CPMMと互換性のないトークン契約の問題から発生し、CPMMエコシステム内の他のトークンを危険にさらす。
2022年以降、23回の攻撃により合計220万USドルが失われた。
スマートコントラクト監査会社であるBlockSecは、この種のエクスプロイト138件が2023年2月に起きたと報告している。
本稿では,ブロックチェーン全体のCPMM構成性バグを自動的に検出するツールであるCPMMXを提案する。
このようなスケーラビリティを実現するために、まずCPMM構成可能性バグを定式化し、これらのバグは2つの安全性不変性を破ることによって引き起こすことができることを示した。
そこで我々は,浅層深度探索と呼ばれる2段階のアプローチでCPMMXを設計した。
より詳しくは、まず浅い検索を使って不変性を破るトランザクションを見つける。
そして、ディープ検索を使ってこれらの取引を洗練し、攻撃者に利益をもたらす。
CPMMXを2つの公開データセットと1つの合成データセットの5つのベースラインに対して評価した。
CPMMXはベースライン法に比べて2.5倍から1.5倍の脆弱性が検出された。
また、契約を著しく高速に分析し、ベースラインよりも高いF1スコアを達成した。
さらに、EthereumおよびBinanceネットワークの最新ブロックのすべてのコントラクトにCPMMXを適用し、合計15.7万米ドルの利益をもたらす可能性のある26の新たなエクスプロイトを発見しました。
関連論文リスト
- Smart Contract Fuzzing Towards Profitable Vulnerabilities [10.908512696717724]
VERITEは利益中心のスマートコントラクトファジィフレームワークである。
悪質な脆弱性を検出し、悪用された利益を最大化する。
合計で1800万ドル以上を抽出でき、検出と悪用の両方で最先端のファズーであるITYFUZZよりはるかに優れている。
論文 参考訳(メタデータ) (2025-01-15T14:38:18Z) - SmartInv: Multimodal Learning for Smart Contract Invariant Inference [10.468390413756863]
We present SmartInv, a accurate and fast smart contract invariant inference framework。
私たちの重要な洞察は、スマートコントラクトの期待される振る舞いは、マルチモーダル情報に対する理解と推論に依存している、ということです。
SmartInvを実世界の契約で評価し、数百万ドルの損失をもたらしたバグを再発見しました。
論文 参考訳(メタデータ) (2024-11-14T06:28:57Z) - ML Study of MaliciousTransactions in Ethereum [0.0]
本稿では,悪意のある契約を検出するための2つのアプローチを提案する。
1つはOpcodeを使用し、もう1つはGPT2に依存し、もう1つはSolidityソースとLORA微調整のCodeLlamaを使用している。
論文 参考訳(メタデータ) (2024-08-16T13:50:04Z) - Vulnerability Scanners for Ethereum Smart Contracts: A Large-Scale Study [44.25093111430751]
2023年だけでも、そのような脆弱性は数十億ドルを超える巨額の損失をもたらした。
スマートコントラクトの脆弱性を検出し、軽減するために、さまざまなツールが開発されている。
本研究では,既存のセキュリティスキャナの有効性と,現在も継続している脆弱性とのギャップについて検討する。
論文 参考訳(メタデータ) (2023-12-27T11:26:26Z) - G$^2$uardFL: Safeguarding Federated Learning Against Backdoor Attacks
through Attributed Client Graph Clustering [116.4277292854053]
Federated Learning (FL)は、データ共有なしで協調的なモデルトレーニングを提供する。
FLはバックドア攻撃に弱いため、有害なモデル重みがシステムの整合性を損なう。
本稿では、悪意のあるクライアントの識別を属性グラフクラスタリング問題として再解釈する保護フレームワークであるG$2$uardFLを提案する。
論文 参考訳(メタデータ) (2023-06-08T07:15:04Z) - Leveraging Machine Learning for Multichain DeFi Fraud Detection [5.213509776274283]
本稿では,最も大きなチェーンを含むさまざまなチェーンから特徴を抽出するフレームワークを提案し,広範囲なデータセットで評価する。
XGBoostやニューラルネットワークなど、さまざまな機械学習手法を使用して、DeFiと対話する不正アカウントの検出を識別した。
本稿では,新しいDeFi関連機能の導入により,評価結果が大幅に改善されることを実証する。
論文 参考訳(メタデータ) (2023-05-17T15:48:21Z) - Blockchain Large Language Models [65.7726590159576]
本稿では,異常なブロックチェーントランザクションを検出するための動的,リアルタイムなアプローチを提案する。
提案するツールであるBlockGPTは、ブロックチェーンアクティビティのトレース表現を生成し、大規模な言語モデルをスクラッチからトレーニングして、リアルタイム侵入検出システムとして機能させる。
論文 参考訳(メタデータ) (2023-04-25T11:56:18Z) - Do the Rewards Justify the Means? Measuring Trade-Offs Between Rewards
and Ethical Behavior in the MACHIAVELLI Benchmark [61.43264961005614]
我々は、50万以上のリッチで多様なシナリオを含む134個のChoose-Your-Own-Adventureゲームのベンチマークを開発する。
我々は、エージェントの傾向をパワー・シーキングと評価し、不使用を生じさせ、倫理的違反を犯す。
以上の結果から,エージェントは有能かつ道徳的に行動できることが示唆された。
論文 参考訳(メタデータ) (2023-04-06T17:59:03Z) - BERTifying the Hidden Markov Model for Multi-Source Weakly Supervised
Named Entity Recognition [57.2201011783393]
条件付き隠れマルコフモデル(CHMM)
CHMMは、入力トークンのBERT埋め込みからトークン単位の遷移と放出確率を予測する。
BERTベースのNERモデルを微調整し、ラベルをCHMMで推論する。
論文 参考訳(メタデータ) (2021-05-26T21:18:48Z) - ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep
Neural Network and Transfer Learning [80.85273827468063]
既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。
スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。
ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
論文 参考訳(メタデータ) (2021-03-23T15:04:44Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。