論文の概要: A Language for Smart Contracts with Secure Control Flow (Technical Report)
- arxiv url: http://arxiv.org/abs/2407.01204v2
- Date: Tue, 22 Apr 2025 22:04:29 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-05-02 19:15:51.847568
- Title: A Language for Smart Contracts with Secure Control Flow (Technical Report)
- Title(参考訳): セキュアな制御フローを持つスマートコントラクトのための言語(技術報告)
- Authors: Siqiu Yao, Haobin Ni, Stephanie Ma, Noah Schiff, Andrew C. Myers, Ethan Cecchetti,
- Abstract要約: スマートコントラクトは、混乱したデリゲート、冗長性、誤ったエラー処理に基づくコントロールフロー攻撃に対して脆弱である。
制御フロー攻撃のクラスに対処する,セキュアなスマートコントラクト言語であるSCIFを導入する。
SCIFは、SCIF契約が悪意のある非SCIFコードと相互作用する場合でも、古典的なエンドツーエンド情報フローセキュリティと、制御フローに対する新たなセキュリティ制限の両方を強制する。
- 参考スコア(独自算出の注目度): 2.8771104250726847
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Smart contracts are frequently vulnerable to control-flow attacks based on confused deputies, reentrancy, and incorrect error handling. These attacks exploit the complexity of interactions among multiple possibly unknown contracts. Existing best practices to prevent vulnerabilities rely on code patterns and heuristics that produce both false positives and false negatives. Even with extensive audits and heuristic tools, new vulnerabilities continue to arise, routinely costing tens of millions of dollars. We introduce SCIF, a language for secure smart contracts, that addresses these classes of control-flow attacks. By extending secure information flow mechanisms in a principled way, SCIF enforces both classic end-to-end information flow security and new security restrictions on control flow, even when SCIF contracts interact with malicious non-SCIF code. SCIF is implemented as a compiler to Solidity. We show how SCIF can secure contracts with minimal overhead through case studies of applications with intricate security reasoning and a large corpus of insecure code.
- Abstract(参考訳): スマートコントラクトは、混乱したデリゲート、再帰性、誤ったエラー処理に基づくコントロールフロー攻撃に対して、しばしば脆弱である。
これらの攻撃は、未知の複数のコントラクト間の相互作用の複雑さを悪用する。
脆弱性を防ぐための既存のベストプラクティスは、偽陽性と偽陰性の両方を生み出すコードパターンとヒューリスティックに依存している。
大規模な監査やヒューリスティックなツールでさえ、新たな脆弱性が発生し続けている。
制御フロー攻撃のクラスに対処する,セキュアなスマートコントラクト言語であるSCIFを導入する。
セキュアな情報フロー機構を原則的に拡張することにより、SCIFは、悪意のある非SCIFコードと相互作用する場合でも、古典的なエンドツーエンド情報フローセキュリティと、制御フローに対する新たなセキュリティ制限の両方を強制する。
SCIFはSolidityのコンパイラとして実装されている。
複雑なセキュリティ推論と大量のセキュリティコードを含むアプリケーションのケーススタディを通じて、SCIFが最小限のオーバーヘッドで契約をセキュアにする方法を示す。
関連論文リスト
- CodeBC: A More Secure Large Language Model for Smart Contract Code Generation in Blockchain [6.7475904578675285]
大きな言語モデル(LLM)は、自然言語命令からコードを生成するのに優れていますが、セキュリティ上の脆弱性に対する理解が欠如しています。
この制限により、特にブロックチェーンのスマートコントラクト開発のような高セキュリティプログラミングタスクにおいて、LLMが生成したコードのセキュリティリスクを回避することが難しくなる。
ブロックチェーンでセキュアなスマートコントラクトを生成するように設計されたコード生成モデルであるCodeBCを紹介します。
論文 参考訳(メタデータ) (2025-04-28T14:14:16Z) - Secure Smart Contract with Control Flow Integrity [3.1655211232629563]
スマートコントラクトを確保するために,リアルタイムに制御フローの整合性を実現するフレームワークであるCrossGuardを開発した。
評価の結果,CrossGuardは,契約のデプロイ前に一度だけ設定した場合に,30件の攻撃のうち28件を効果的にブロックすることがわかった。
論文 参考訳(メタデータ) (2025-04-07T21:08:16Z) - Defeating Prompt Injections by Design [79.00910871948787]
CaMeLは、Large Language Models (LLMs) を中心とした保護システムレイヤを作成する堅牢な防御機能である。
CaMeLは、(信頼された)クエリから制御とデータフローを明示的に抽出する。
最近のエージェントセキュリティベンチマークであるAgentDojo[NeurIPS 2024]で、証明可能なセキュリティを備えた67%のタスクを解決し、CaMeLの有効性を実証した。
論文 参考訳(メタデータ) (2025-03-24T15:54:10Z) - Steering Dialogue Dynamics for Robustness against Multi-turn Jailbreaking Attacks [55.29301192316118]
大規模言語モデル(LLM)は、ジェイルブレイク攻撃に対して非常に脆弱である。
安全制御理論に基づく安全ステアリングフレームワークを提案する。
本手法は,安全予測器を学習することにより,対話の各方向における不変安全性を実現する。
論文 参考訳(メタデータ) (2025-02-28T21:10:03Z) - Constructing Trustworthy Smart Contracts [1.7495213911983416]
保証可能なセキュアなコントラクトの構築を容易にするためのシステムであるASPを紹介します。
言語セマンティクスは、Aspコントラクトが一般的に悪用される脆弱性のないことを保証します。
防御コンパイラはセマンティクスを強制し、最も人気のあるコントラクト言語であるSolidityにAspを翻訳する。
論文 参考訳(メタデータ) (2024-11-21T20:26:18Z) - SCANS: Mitigating the Exaggerated Safety for LLMs via Safety-Conscious Activation Steering [56.92068213969036]
悪意のある命令から脅威を守るために、LLM(Large Language Models)には安全アライメントが不可欠である。
近年の研究では、過大な安全性の問題により、安全性に配慮したLCMは、良質な問い合わせを拒否する傾向にあることが明らかになっている。
過大な安全性の懸念を和らげるために,SCANS法を提案する。
論文 参考訳(メタデータ) (2024-08-21T10:01:34Z) - Rethinking the Vulnerabilities of Face Recognition Systems:From a Practical Perspective [53.24281798458074]
顔認識システム(FRS)は、監視やユーザー認証を含む重要なアプリケーションにますます統合されている。
最近の研究によると、FRSの脆弱性は敵(例えば、敵パッチ攻撃)やバックドア攻撃(例えば、データ中毒の訓練)であることが明らかになっている。
論文 参考訳(メタデータ) (2024-05-21T13:34:23Z) - SmartML: Towards a Modeling Language for Smart Contracts [0.3277163122167434]
本稿では,プラットフォームに依存しない,理解しやすいスマートコントラクトのモデリング言語であるSmartMLを提案する。
セキュリティ脆弱性に対処する上での役割に焦点をあてて、その形式的意味論と型システムについて詳述する。
論文 参考訳(メタデータ) (2024-03-11T11:27:53Z) - Defending Large Language Models against Jailbreak Attacks via Semantic
Smoothing [107.97160023681184]
適応型大規模言語モデル(LLM)は、ジェイルブレイク攻撃に対して脆弱である。
提案するSEMANTICSMOOTHは,与えられた入力プロンプトのセマンティック変換されたコピーの予測を集約するスムージングベースのディフェンスである。
論文 参考訳(メタデータ) (2024-02-25T20:36:03Z) - A security framework for Ethereum smart contracts [13.430752634838539]
本稿では、スマートコントラクト分析のフレームワークであるESAFについて述べる。
スマートコントラクトの脆弱性を分析するタスクを統一し、促進することを目的としている。
一連のターゲットコントラクトに対する永続的なセキュリティ監視ツールや、古典的な脆弱性分析ツールとして使用できる。
論文 参考訳(メタデータ) (2024-02-05T22:14:21Z) - A Survey and Comparative Analysis of Security Properties of CAN Authentication Protocols [92.81385447582882]
コントロールエリアネットワーク(CAN)バスは車内通信を本質的に安全でないものにしている。
本稿では,CANバスにおける15の認証プロトコルをレビューし,比較する。
実装の容易性に寄与する本質的な運用基準に基づくプロトコルの評価を行う。
論文 参考訳(メタデータ) (2024-01-19T14:52:04Z) - HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。
低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。
私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
論文 参考訳(メタデータ) (2024-01-17T00:56:23Z) - Blockchain Smart Contract Threat Detection Technology Based on Symbolic
Execution [0.0]
永続性の脆弱性は隠蔽され複雑であり、スマートコントラクトに大きな脅威をもたらす。
本稿では,シンボル実行に基づくスマートコントラクト脅威検出技術を提案する。
実験の結果,本手法は検出効率と精度の両方を著しく向上させることがわかった。
論文 参考訳(メタデータ) (2023-12-24T03:27:03Z) - Gradual Verification for Smart Contracts [0.4543820534430522]
Algosはスマートコントラクトを通じてセキュアなリソーストランザクションを実現する。
従来の検証技術は、包括的なセキュリティ保証の提供に不足している。
本稿では,段階的検証という段階的なアプローチを紹介する。
論文 参考訳(メタデータ) (2023-11-22T12:42:26Z) - SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。
SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。
我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
論文 参考訳(メタデータ) (2023-09-26T08:11:38Z) - Not what you've signed up for: Compromising Real-World LLM-Integrated
Applications with Indirect Prompt Injection [64.67495502772866]
大規模言語モデル(LLM)は、様々なアプリケーションに統合されつつある。
本稿では、プロンプトインジェクション攻撃を用いて、攻撃者が元の命令をオーバーライドし、制御を採用する方法を示す。
我々は、コンピュータセキュリティの観点から、影響や脆弱性を体系的に調査する包括的な分類法を導出する。
論文 参考訳(メタデータ) (2023-02-23T17:14:38Z) - Functional Encryption with Secure Key Leasing [6.375982344506753]
暗号化プリミティブによって ソフトウェアを ユーザーにリースできる 量子状態にエンコードする
セキュアなソフトウェアリースは、返却されたソフトウェアが有効かどうかを検証するメカニズムを持っている。
我々は秘密鍵機能暗号(FEE)の概念を導入し,鍵リースを安全に行う。
論文 参考訳(メタデータ) (2022-09-27T00:15:00Z) - HCC: A Language-Independent Hardening Contract Compiler for Smart Contracts [5.379572824182189]
我々は,HCCと呼ばれる,最初の実用的なスマートコントラクトコンパイラを提案する。
HCCは、新しい言語に依存しないコードプロパティグラフ(CPG)の表記に基づいて、ソースコードレベルでのセキュリティ強化チェックを挿入する。
論文 参考訳(メタデータ) (2022-03-01T11:25:32Z) - ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep
Neural Network and Transfer Learning [80.85273827468063]
既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。
スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。
ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
論文 参考訳(メタデータ) (2021-03-23T15:04:44Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。