論文の概要: WALLETRADAR: Towards Automating the Detection of Vulnerabilities in Browser-based Cryptocurrency Wallets

• arxiv url: http://arxiv.org/abs/2405.04332v1
• Date: Tue, 7 May 2024 14:01:27 GMT
• ステータス: 処理完了
• システム内更新日: 2024-05-08 13:50:50.402207
• Title: WALLETRADAR: Towards Automating the Detection of Vulnerabilities in Browser-based Cryptocurrency Wallets
• Title（参考訳）: WALLETRADAR: ブラウザベースの暗号ウォレットにおける脆弱性検出の自動化に向けて
• Authors: Pengcheng Xia, Yanhui Guo, Zhaowen Lin, Jun Wu, Pengbo Duan, Ningyu He, Kailong Wang, Tianming Liu, Yinliang Yue, Guoai Xu, Haoyu Wang,
• Abstract要約: 本稿では,ブラウザベースのウォレットの包括的セキュリティ解析と,これを目的とした自動ツールの開発について述べる。 WALLETRADARは静的および動的解析に基づいてセキュリティ問題を正確に識別できる自動検出フレームワークである。 96個のブラウザベースの財布の評価は、WALLETRADARの有効性を示し、精度の高い財布の90%で検出プロセスの自動化に成功した。
• 参考スコア（独自算出の注目度）: 19.265999943788284
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Cryptocurrency wallets, acting as fundamental infrastructure to the blockchain ecosystem, have seen significant user growth, particularly among browser-based wallets (i.e., browser extensions). However, this expansion accompanies security challenges, making these wallets prime targets for malicious activities. Despite a substantial user base, there is not only a significant gap in comprehensive security analysis but also a pressing need for specialized tools that can aid developers in reducing vulnerabilities during the development process. To fill the void, we present a comprehensive security analysis of browser-based wallets in this paper, along with the development of an automated tool designed for this purpose. We first compile a taxonomy of security vulnerabilities resident in cryptocurrency wallets by harvesting historical security reports. Based on this, we design WALLETRADAR, an automated detection framework that can accurately identify security issues based on static and dynamic analysis. Evaluation of 96 popular browser-based wallets shows WALLETRADAR's effectiveness, by successfully automating the detection process in 90% of these wallets with high precision. This evaluation has led to the discovery of 116 security vulnerabilities corresponding to 70 wallets. By the time of this paper, we have received confirmations of 10 vulnerabilities from 8 wallet developers, with over $2,000 bug bounties. Further, we observed that 12 wallet developers have silently fixed 16 vulnerabilities after our disclosure. WALLETRADAR can effectively automate the identification of security risks in cryptocurrency wallets, thereby enhancing software development quality and safety in the blockchain ecosystem.
• Abstract（参考訳）: ブロックチェーンエコシステムの基盤として機能する暗号通貨ウォレットは、特にブラウザベースのウォレット(ブラウザ拡張など)において、大きなユーザ成長を遂げている。 しかし、この拡張はセキュリティ上の課題を伴い、これらのウォレットは悪意ある活動のターゲットとなっている。 かなりのユーザベースにもかかわらず、包括的なセキュリティ分析には大きなギャップがあるだけでなく、開発者が開発プロセス中に脆弱性を減らすのに役立つ特別なツールも必要だ。 この空白を埋めるために,本稿では,ブラウザベースのウォレットの包括的セキュリティ解析と,この目的のために設計された自動ツールの開発を紹介する。 われわれはまず、暗号通貨ウォレットに居住するセキュリティ脆弱性の分類を、過去のセキュリティレポートを収集することによってコンパイルする。 これに基づいて,静的および動的解析に基づいてセキュリティ問題を正確に識別できる自動検出フレームワークWALLETRADARを設計する。 96個のブラウザベースの財布の評価は、WALLETRADARの有効性を示し、精度の高い財布の90%で検出プロセスの自動化に成功した。 この評価により、70個のウォレットに対応する116のセキュリティ脆弱性が発見された。 本稿の時点では,8人のウォレット開発者から10件の脆弱性が確認されており,2,000ドル以上のバグ報奨金が支払われています。 さらに、開示後、12人のウォレット開発者が16の脆弱性を静かに修正したことも確認した。 WALLETRADARは、暗号通貨ウォレットのセキュリティリスクの特定を効果的に自動化し、ブロックチェーンエコシステムにおけるソフトウェア開発の品質と安全性を向上させる。

関連論文リスト

• Vulnerability anti-patterns in Solidity: Increasing smart contracts security by reducing false alarms [0.0]
  我々は、現在の分析の統合と拡張が実現可能なだけでなく、スマートコントラクトセキュリティにおける次の論理的なステップであることを示す。 開発者中心の脆弱性の概念から,Solidityコードの形態と動的性に関する軽量な静的チェックを提案する。
  論文  参考訳（メタデータ） (2024-10-22T17:21:28Z)
• Rethinking the Vulnerabilities of Face Recognition Systems:From a Practical Perspective [53.24281798458074]
  顔認識システム(FRS)は、監視やユーザー認証を含む重要なアプリケーションにますます統合されている。 最近の研究によると、FRSの脆弱性は敵(例えば、敵パッチ攻撃)やバックドア攻撃(例えば、データ中毒の訓練)であることが明らかになっている。
  論文  参考訳（メタデータ） (2024-05-21T13:34:23Z)
• Not All Prompts Are Secure: A Switchable Backdoor Attack Against Pre-trained Vision Transformers [51.0477382050976]
  この作業でスイッチトークンと呼ばれる追加のプロンプトトークンは、バックドアモードをオンにすることができ、良心的なモデルをバックドアモードに変換することができる。 事前訓練されたモデルを攻撃するため、SWARMと呼ばれる攻撃はトリガを学習し、スイッチトークンを含むトークンをプロンプトする。 多様な視覚認識タスクの実験は、切り替え可能なバックドア攻撃の成功を確認し、95%以上の攻撃成功率を達成した。
  論文  参考訳（メタデータ） (2024-05-17T08:19:48Z)
• VELLET: Verifiable Embedded Wallet for Securing Authenticity and Integrity [0.6144680854063939]
  本稿では,組込みウォレットの安全性を高めるための新しいプロトコルを提案する。 我々のVELLETプロトコルは、スマートコントラクト上で組込みウォレットの監査パスにマッチするウォレット検証を導入しています。
  論文  参考訳（メタデータ） (2024-04-05T03:23:19Z)
• Architectural Design for Secure Smart Contract Development [0.0]
  ブロックチェーンインフラストラクチャに対するいくつかの攻撃により、数百万ドルが失われ、機密情報が漏洩した。 一般的なソフトウェア脆弱性とブロックチェーンインフラストラクチャに対する攻撃を特定します。 スマートコントラクトを活用した将来のシステムにおいて,より強力なセキュリティ標準を保証するためのモデルを提案する。
  論文  参考訳（メタデータ） (2024-01-03T18:59:17Z)
• Vulnerability Scanners for Ethereum Smart Contracts: A Large-Scale Study [44.25093111430751]
  2023年だけでも、そのような脆弱性は数十億ドルを超える巨額の損失をもたらした。 スマートコントラクトの脆弱性を検出し、軽減するために、さまざまなツールが開発されている。 本研究では,既存のセキュリティスキャナの有効性と,現在も継続している脆弱性とのギャップについて検討する。
  論文  参考訳（メタデータ） (2023-12-27T11:26:26Z)
• Analyzing In-browser Cryptojacking [16.599890339599586]
  我々はブラウザ内暗号ジャックの静的、動的、経済的側面を分析する。 機械学習技術を用いて、暗号解読スクリプトと良性および悪意のあるJavaScriptサンプルを区別する。 また,オンライン広告の代替手段として,暗号ジャックの実現可能性を実証的に評価する分析モデルを構築した。
  論文  参考訳（メタデータ） (2023-04-26T02:46:42Z)
• Smart Contract and DeFi Security Tools: Do They Meet the Needs of Practitioners? [10.771021805354911]
  スマートコントラクトを狙った攻撃は増加しており、推定645億ドルの損失を生んでいる。 私たちは、目立った攻撃につながる可能性のある脆弱性を特定するために、自動セキュリティツールの有効性に光を当てることを目指しています。 このツールは、われわれのデータセットにおける攻撃のわずか8%を防げた可能性があり、23億ドルの損失のうち1億4900万ドルに相当する。
  論文  参考訳（メタデータ） (2023-04-06T10:27:19Z)
• ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep Neural Network and Transfer Learning [80.85273827468063]
  既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。 スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。 ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
  論文  参考訳（メタデータ） (2021-03-23T15:04:44Z)
• Quantum Multi-Solution Bernoulli Search with Applications to Bitcoin's Post-Quantum Security [67.06003361150228]
  作業の証明(英: proof of work、PoW)は、当事者が計算タスクの解決にいくらかの労力を費やしたことを他人に納得させることができる重要な暗号構造である。 本研究では、量子戦略に対してそのようなPoWの連鎖を見つけることの難しさについて検討する。 我々は、PoWs問題の連鎖が、マルチソリューションBernoulliサーチと呼ばれる問題に還元されることを証明し、量子クエリの複雑さを確立する。
  論文  参考訳（メタデータ） (2020-12-30T18:03:56Z)
• Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
  大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。 我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。 我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
  論文  参考訳（メタデータ） (2020-10-19T13:09:31Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。