論文の概要: SmartState: Detecting State-Reverting Vulnerabilities in Smart Contracts via Fine-Grained State-Dependency Analysis

• arxiv url: http://arxiv.org/abs/2406.15988v1
• Date: Sun, 23 Jun 2024 02:51:23 GMT
• ステータス: 処理完了
• システム内更新日: 2024-06-25 19:33:31.752257
• Title: SmartState: Detecting State-Reverting Vulnerabilities in Smart Contracts via Fine-Grained State-Dependency Analysis
• Title（参考訳）: SmartState: 細粒状態依存分析によるスマートコントラクトにおける状態反転脆弱性の検出
• Authors: Zeqin Liao, Sicheng Hao, Yuhong Nan, Zibin Zheng,
• Abstract要約: SRV(State-Reverting Vulnerability)は、違法な利益獲得やDoS(Deny-of-Service)といったセキュリティ上の影響をもたらす可能性がある。 本稿では,Solidityスマートコントラクトにおける状態反転脆弱性を検出するための新しいフレームワークであるSmartStateを提案する。 さらにSmartStateは、47,351の現実世界のスマートコントラクトから406の新しいSRVを正常に識別する。
• 参考スコア（独自算出の注目度）: 25.364505252702028
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Smart contracts written in Solidity are widely used in different blockchain platforms such as Ethereum, TRON and BNB Chain. One of the unique designs in Solidity smart contracts is its state-reverting mechanism for error handling and access control. Unfortunately, a number of recent security incidents showed that adversaries also utilize this mechanism to manipulate critical states of smart contracts, and hence, bring security consequences such as illegal profit-gain and Deny-of-Service (DoS). In this paper, we call such vulnerabilities as the State-reverting Vulnerability (SRV). Automatically identifying SRVs poses unique challenges, as it requires an in-depth analysis and understanding of the state-dependency relations in smart contracts. This paper presents SmartState, a new framework for detecting state-reverting vulnerability in Solidity smart contracts via fine-grained state-dependency analysis. SmartState integrates a set of novel mechanisms to ensure its effectiveness. Particularly, Smart-State extracts state dependencies from both contract bytecode and historical transactions. Both of them are critical for inferring dependencies related to SRVs. Further, SmartState models the generic patterns of SRVs (i.e., profit-gain and DoS) as SRV indicators, and hence effectively identify SRVs based on the constructed state-dependency graph. To evaluate SmartState, we manually annotated a ground-truth dataset which contains 91 SRVs in the real world. Evaluation results showed that SmartState achieves a precision of 87.23% and a recall of 89.13%. In addition, SmartState successfully identifies 406 new SRVs from 47,351 real-world smart contracts. 11 of these SRVs are from popular smart contracts with high transaction amounts (i.e., top 2000). In total, our reported SRVs affect a total amount of digital assets worth 428,600 USD.
• Abstract（参考訳）: Solidityで記述されたスマートコントラクトは,EthereumやTRON,BNB Chainなど,さまざまなブロックチェーンプラットフォームで広く使用されている。 Solidityスマートコントラクトのユニークな設計の1つは、エラー処理とアクセス制御のための状態反転メカニズムである。 残念なことに、最近のセキュリティインシデントでは、敵がこのメカニズムを使ってスマートコントラクトの重要な状態を操作しているため、不正な利益獲得やDoS(Doy-of-Service)といったセキュリティ上の結果をもたらすことが示されている。 本稿では、状態回帰脆弱性(State-Reverting Vulnerability, SRV)と呼ばれる脆弱性について述べる。 SRVを自動的に識別することは、スマートコントラクトにおける状態依存関係の詳細な分析と理解を必要とするため、ユニークな課題となる。 本稿では,Solidityスマートコントラクトにおける状態回帰脆弱性を検出するための,きめ細かい状態依存分析による新しいフレームワークであるSmartStateを提案する。 SmartStateは、その有効性を保証するために、一連の新しいメカニズムを統合する。 特にSmart-Stateは、コントラクトバイトコードと履歴トランザクションの両方から状態依存を抽出します。 どちらも、SRVに関連する依存関係を推測するために重要である。 さらに、SmartStateはSRVの一般的なパターン(すなわち利益ゲインとDoS)をSRVインジケータとしてモデル化し、構築されたステート依存グラフに基づいてSRVを効果的に識別する。 SmartStateを評価するために,実世界で91個のSRVを含む地上構造データセットを手動でアノテートした。 評価の結果、SmartStateの精度は87.23%、リコールは89.13%であった。 さらにSmartStateは、47,351の現実世界のスマートコントラクトから406の新しいSRVを正常に識別する。 これらのSRVのうち11は、取引量の多い一般的なスマートコントラクト(トップ2000)からのものである。 われわれの報告によると、SRVは428,600USドル相当のデジタル資産に影響を及ぼしている。

関連論文リスト

• Versioned Analysis of Software Quality Indicators and Self-admitted Technical Debt in Ethereum Smart Contracts with Ethstractor [2.052808596154225]
  本稿では、バージョン管理されたスマートコントラクトのデータセットを収集する最初のスマートコントラクト収集ツールであるEthstractorを提案する。 収集されたデータセットは、スマートコントラクトの脆弱性の指標として、コードメトリクスの信頼性を評価するために使用される。
  論文  参考訳（メタデータ） (2024-07-22T18:27:29Z)
• StateGuard: Detecting State Derailment Defects in Decentralized Exchange Smart Contract [4.891180928768215]
  我々は,DEXの脱線欠陥に関する最初の系統的研究を行った。 これらの欠陥は、契約実行中のシステム状態の不正、不完全、あるいは不正な変更につながる可能性がある。 我々は,DeXスマートコントラクトにおける状態脱線欠陥を検出するためのディープラーニングベースのフレームワークであるStateGuardを提案する。
  論文  参考訳（メタデータ） (2024-05-15T08:40:29Z)
• Specification Mining for Smart Contracts with Trace Slicing and Predicate Abstraction [10.723903783651537]
  過去の取引履歴から契約仕様を推測するための仕様マイニング手法を提案する。 提案手法は,トランザクション履歴から統計的に推測されるプログラム不変量とともに,関数呼び出しの高レベルな挙動自動化を導出する。
  論文  参考訳（メタデータ） (2024-03-20T03:39:51Z)
• Automated Invariant Generation for Solidity Smart Contracts [2.4181711081104282]
  本稿では,Solidityスマートコントラクトのための新しい不変生成フレームワークINVCON+を提案する。 INVCON+は既存の不変検出器であるInvConを拡張して、検証された契約不変量を自動生成する。 我々は、361 ERC20と10 ERC721実世界の契約と、一般的なERC20脆弱性ベンチマークに基づいてINVCON+を評価する。
  論文  参考訳（メタデータ） (2024-01-01T03:37:30Z)
• Vulnerability Scanners for Ethereum Smart Contracts: A Large-Scale Study [44.25093111430751]
  2023年だけでも、そのような脆弱性は数十億ドルを超える巨額の損失をもたらした。 スマートコントラクトの脆弱性を検出し、軽減するために、さまざまなツールが開発されている。 本研究では,既存のセキュリティスキャナの有効性と,現在も継続している脆弱性とのギャップについて検討する。
  論文  参考訳（メタデータ） (2023-12-27T11:26:26Z)
• Data-Free Hard-Label Robustness Stealing Attack [67.41281050467889]
  本稿では,Data-Free Hard-Label Robustness Stealing(DFHL-RS)攻撃について紹介する。 ターゲットモデルのハードラベルをクエリするだけで、モデル精度とロバスト性の両方を盗むことができる。 本手法は,AutoAttackに対して77.86%,頑健な39.51%の精度を実現する。
  論文  参考訳（メタデータ） (2023-12-10T16:14:02Z)
• Formally Verifying a Real World Smart Contract [52.30656867727018]
  われわれは、Solidityの最新バージョンで書かれた現実世界のスマートコントラクトを正式に検証できるツールを検索する。 本稿では,最近のSolidityで書かれた実世界のスマートコントラクトを正式に検証できるツールについて紹介する。
  論文  参考訳（メタデータ） (2023-07-05T14:30:21Z)
• SmartBugs 2.0: An Execution Framework for Weakness Detection in Ethereum Smart Contracts [0.757843972001219]
  スマートコントラクトは、しばしば価値ある資産を扱うブロックチェーンプログラムである。 脆弱性の特定と排除を支援するため、自動分析のためのメソッドとツールが提案されている。 We present SmartBugs 2.0, a modular execution framework for smart contract analysis。
  論文  参考訳（メタデータ） (2023-06-08T09:22:25Z)
• SmartBook: AI-Assisted Situation Report Generation for Intelligence Analysts [55.73424958012229]
  この研究は、状況報告生成におけるAI支援のためのインテリジェンスアナリストの実践と嗜好を特定する。 本稿では,大量のニュースデータから状況報告を自動生成するフレームワークSmartBookを紹介する。 我々は,SmartBookの総合的な評価を行い,ユーザによるコンテントレビューと編集調査を併用し,正確な状況報告を生成する上でのSmartBookの有効性を明らかにした。
  論文  参考訳（メタデータ） (2023-03-25T03:03:00Z)
• ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep Neural Network and Transfer Learning [80.85273827468063]
  既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。 スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。 ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
  論文  参考訳（メタデータ） (2021-03-23T15:04:44Z)
• Instance-aware, Context-focused, and Memory-efficient Weakly Supervised Object Detection [184.563345153682]
  我々は、弱教師付き学習のためのインスタンス認識とコンテキスト重視の統合フレームワークを開発する。 メモリ効率の高いシーケンシャルバッチバックプロパゲーションを考案しながら、インスタンス対応の自己学習アルゴリズムと学習可能なコンクリートドロップブロックを採用している。 提案手法はCOCO(12.1% AP$、24.8% AP_50$)、VOC 2007(54.9% AP$)、VOC 2012(52.1% AP$)の最先端結果である。
  論文  参考訳（メタデータ） (2020-04-09T17:57:09Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。