論文の概要: All Your Tokens are Belong to Us: Demystifying Address Verification Vulnerabilities in Solidity Smart Contracts
- arxiv url: http://arxiv.org/abs/2405.20561v1
- Date: Fri, 31 May 2024 01:02:07 GMT
- ステータス: 処理完了
- システム内更新日: 2024-06-03 15:55:52.599833
- Title: All Your Tokens are Belong to Us: Demystifying Address Verification Vulnerabilities in Solidity Smart Contracts
- Title(参考訳): スマートコントラクトにおけるアドレス検証脆弱性の最小化
- Authors: Tianle Sun, Ningyu He, Jiang Xiao, Yinliang Yue, Xiapu Luo, Haoyu Wang,
- Abstract要約: 検証のプロセスにおける脆弱性は、大きなセキュリティ問題を引き起こす可能性がある。
静的EVMオペコードシミュレーションに基づく軽量なテナントアナライザであるAVVERIFIERの設計と実装を行う。
500万以上のスマートコントラクトを大規模に評価した結果,コミュニティが公表していない812の脆弱性のあるスマートコントラクトを特定しました。
- 参考スコア(独自算出の注目度): 24.881450403784786
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: In Ethereum, the practice of verifying the validity of the passed addresses is a common practice, which is a crucial step to ensure the secure execution of smart contracts. Vulnerabilities in the process of address verification can lead to great security issues, and anecdotal evidence has been reported by our community. However, this type of vulnerability has not been well studied. To fill the void, in this paper, we aim to characterize and detect this kind of emerging vulnerability. We design and implement AVVERIFIER, a lightweight taint analyzer based on static EVM opcode simulation. Its three-phase detector can progressively rule out false positives and false negatives based on the intrinsic characteristics. Upon a well-established and unbiased benchmark, AVVERIFIER can improve efficiency 2 to 5 times than the SOTA while maintaining a 94.3% precision and 100% recall. After a large-scale evaluation of over 5 million Ethereum smart contracts, we have identified 812 vulnerable smart contracts that were undisclosed by our community before this work, and 348 open source smart contracts were further verified, whose largest total value locked is over $11.2 billion. We further deploy AVVERIFIER as a real-time detector on Ethereum and Binance Smart Chain, and the results suggest that AVVERIFIER can raise timely warnings once contracts are deployed.
- Abstract(参考訳): Ethereumでは、渡されたアドレスの妥当性を検証するプラクティスが一般的であり、スマートコントラクトのセキュアな実行を保証するための重要なステップである。
検証プロセスにおける脆弱性は,重大なセキュリティ問題を引き起こし,我々のコミュニティから逸話的証拠が報告されている。
しかし、この種の脆弱性は十分に研究されていない。
この空白を埋めるために,本稿では,このような新たな脆弱性を特徴づけ,検出することを目的としている。
静的EVMオペコードシミュレーションに基づく軽量なテナントアナライザであるAVVERIFIERの設計と実装を行う。
その3相検出器は、本質的な特性に基づいて、偽陽性と偽陰性を徐々に排除することができる。
AVVERIFIERは精度94.3%の精度と100%のリコールを維持しながら効率をSOTAの2倍から5倍改善することができる。
500万以上のEthereumスマートコントラクトを大規模に評価した結果、812の脆弱性のあるスマートコントラクトが確認されました。
EthereumとBinance Smart Chainのリアルタイム検出器としてAVVERIFIERをさらにデプロイし,コントラクトがデプロイされると,AVVERIFIERがタイムリーな警告を発生させることができることを示唆している。
関連論文リスト
- Vulnerability anti-patterns in Solidity: Increasing smart contracts security by reducing false alarms [0.0]
我々は、現在の分析の統合と拡張が実現可能なだけでなく、スマートコントラクトセキュリティにおける次の論理的なステップであることを示す。
開発者中心の脆弱性の概念から,Solidityコードの形態と動的性に関する軽量な静的チェックを提案する。
論文 参考訳(メタデータ) (2024-10-22T17:21:28Z) - Demystifying and Detecting Cryptographic Defects in Ethereum Smart Contracts [14.203991954526789]
スマートコントラクトにおける暗号欠陥の解読と検出を目的とした,最初の研究を行った。
我々は,スマートコントラクトにおける暗号欠陥検出を自動化するファジィベースのツールであるCrySolを提案した。
25,745の暗号関連スマートコントラクトを含む大規模データセットを収集し,CrySolの有効性を評価した。
論文 参考訳(メタデータ) (2024-08-09T08:40:08Z) - Dual-view Aware Smart Contract Vulnerability Detection for Ethereum [5.002702845720439]
本報告では,DVDet というデュアルビュー対応スマートコントラクト脆弱性検出フレームワークを提案する。
このフレームワークは最初、スマートコントラクトのソースコードとバイトコードを重み付きグラフに変換し、フローシーケンスを制御する。
データセットの総合的な実験により,我々の手法は脆弱性の検出において他者よりも優れていることが示された。
論文 参考訳(メタデータ) (2024-06-29T06:47:51Z) - BEEAR: Embedding-based Adversarial Removal of Safety Backdoors in Instruction-tuned Language Models [57.5404308854535]
大型言語モデル(LLM)における安全バックドア攻撃は、正常な相互作用中の検出を回避しながら、安全でない振る舞いをステルス的に引き起こすことができる。
モデル埋め込み空間において,バックドアトリガーが比較的均一なドリフトを引き起こすという知見を活かした緩和手法であるBEEARを提案する。
両レベル最適化手法は、不要な振る舞いを誘発する普遍的な埋め込み摂動を特定し、モデルパラメータを調整し、これらの摂動に対する安全な振舞いを強化する。
論文 参考訳(メタデータ) (2024-06-24T19:29:47Z) - Uncover the Premeditated Attacks: Detecting Exploitable Reentrancy Vulnerabilities by Identifying Attacker Contracts [27.242299425486273]
スマートコントラクトにおける悪名高い脆弱性であるReentrancyは、数百万ドルの損失をもたらしている。
現在のスマートコントラクトの脆弱性検出ツールは、永続的脆弱性を持つコントラクトを識別する上で、高い偽陽性率に悩まされている。
攻撃者の契約を識別することで、再侵入の脆弱性を検出するツールであるBlockWatchdogを提案する。
論文 参考訳(メタデータ) (2024-03-28T03:07:23Z) - Intention Analysis Makes LLMs A Good Jailbreak Defender [79.4014719271075]
本研究では,シンプルかつ高効率な防衛戦略,すなわち意図分析(mathbbIA$)を提案する。
この背景にある原則は、LSM固有の自己修正をトリガーし、2段階のプロセスを通じて能力を改善することである。
$mathbbIA$は推論のみのメソッドであり、その有用性を損なうことなくLLMの安全性を高めることができる。
論文 参考訳(メタデータ) (2024-01-12T13:15:05Z) - Vulnerability Scanners for Ethereum Smart Contracts: A Large-Scale Study [44.25093111430751]
2023年だけでも、そのような脆弱性は数十億ドルを超える巨額の損失をもたらした。
スマートコントラクトの脆弱性を検出し、軽減するために、さまざまなツールが開発されている。
本研究では,既存のセキュリティスキャナの有効性と,現在も継続している脆弱性とのギャップについて検討する。
論文 参考訳(メタデータ) (2023-12-27T11:26:26Z) - Formally Verifying a Real World Smart Contract [52.30656867727018]
われわれは、Solidityの最新バージョンで書かれた現実世界のスマートコントラクトを正式に検証できるツールを検索する。
本稿では,最近のSolidityで書かれた実世界のスマートコントラクトを正式に検証できるツールについて紹介する。
論文 参考訳(メタデータ) (2023-07-05T14:30:21Z) - Blockchain Large Language Models [65.7726590159576]
本稿では,異常なブロックチェーントランザクションを検出するための動的,リアルタイムなアプローチを提案する。
提案するツールであるBlockGPTは、ブロックチェーンアクティビティのトレース表現を生成し、大規模な言語モデルをスクラッチからトレーニングして、リアルタイム侵入検出システムとして機能させる。
論文 参考訳(メタデータ) (2023-04-25T11:56:18Z) - ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep
Neural Network and Transfer Learning [80.85273827468063]
既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。
スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。
ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
論文 参考訳(メタデータ) (2021-03-23T15:04:44Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。