論文の概要: CrossInspector: A Static Analysis Approach for Cross-Contract Vulnerability Detection

• arxiv url: http://arxiv.org/abs/2408.15292v1
• Date: Tue, 27 Aug 2024 00:53:14 GMT
• ステータス: 処理完了
• システム内更新日: 2024-08-29 18:22:33.418383
• Title: CrossInspector: A Static Analysis Approach for Cross-Contract Vulnerability Detection
• Title（参考訳）: Cross Inspector: クロスコントラクト脆弱性検出のための静的解析手法
• Authors: Xiao Chen,
• Abstract要約: CrossInspectorは静的解析によってバイトコードレベルでクロスコントラクトの脆弱性を検出する新しいフレームワークである。 私たちは300の現実世界のスマートコントラクトでランダムに選択されたセット上でCrossInspectorを実行し、以前のツールで見逃された11のクロスコントラクト脆弱性を特定しました。
• 参考スコア（独自算出の注目度）: 3.6320095921016264
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: With the development of blockchain technology, the detection of smart contract vulnerabilities is increasingly emphasized. However, when detecting vulnerabilities in inter-contract interactions (i.e., cross-contract vulnerabilities) using smart contract bytecode, existing tools often produce many false positives and false negatives due to insufficient recovery of semantic information and inadequate consideration of contract dependencies. We present CrossInspector, a novel framework for detecting cross-contract vulnerabilities at the bytecode level through static analysis. CrossInspector utilizes a trained Transformer model to recover semantic information and considers control flow, data flow, and dependencies related to smart contract state variables to construct a state dependency graph for fine-grained inter-procedural analysis. Additionally, CrossInspector incorporates a pruning method and two parallel optimization mechanisms to accelerate the vulnerability detection process. Experiments on our manually constructed dataset demonstrate that CrossInspector outperforms the state-of-the-art tools in both precision (97\%) and recall (96.75\%), while also significantly reducing the overall time from 16.34 seconds to 7.83 seconds, almost on par with the fastest tool that utilizes bytecode for detection. Additionally, we ran CrossInspector on a randomly selected set of 300 real-world smart contracts and identified 11 cross-contract vulnerabilities that were missed by prior tools.
• Abstract（参考訳）: ブロックチェーン技術の発展に伴い、スマートコントラクトの脆弱性の検出がますます強調されている。 しかしながら、スマートコントラクトバイトコードを使用した契約間相互作用(すなわち、クロスコントラクトの脆弱性)の脆弱性を検出する場合、既存のツールは意味情報の回復が不十分で、契約依存性の考慮が不十分なため、多くの偽陽性と偽陰性を生成することが多い。 静的解析によりバイトコードレベルでクロスコントラクト脆弱性を検出する新しいフレームワークであるCrossInspectorを提案する。 CrossInspectorは、トレーニングされたTransformerモデルを使用してセマンティック情報を回復し、スマートコントラクト状態変数に関連する制御フロー、データフロー、依存関係を考慮して、きめ細かいプロセス間解析のための状態依存グラフを構築する。 さらに、CrossInspectorにはプルーニング法と2つの並列最適化機構が組み込まれ、脆弱性検出プロセスが高速化される。 手動で構築したデータセットの実験では、CrossInspectorは最先端のツールよりも精度(97\%)とリコール(96.75\%)が優れており、全体的な時間は16.34秒から7.83秒に大幅に短縮されている。 さらに、300の現実世界のスマートコントラクトでランダムに選択されたセット上でCrossInspectorを実行し、以前のツールで見逃された11のクロスコントラクト脆弱性を特定しました。

関連論文リスト

• Impact of Code Transformation on Detection of Smart Contract Vulnerabilities [0.0]
  本稿では,スマートコントラクト脆弱性データセットの量と品質を改善する方法を提案する。 このアプローチは、セマンティックな意味を変えることなくソースコード構造を変更するテクニックである、セマンティックな保存コード変換を中心に展開されている。 改善された結果によると、新たに生成された脆弱性の多くはツールをバイパスでき、偽報告率は最大100%になる。
  論文  参考訳（メタデータ） (2024-10-29T03:08:25Z)
• Smart Contract Vulnerability Detection based on Static Analysis and Multi-Objective Search [3.297959314391795]
  本稿では,静的解析と多目的最適化アルゴリズムを用いて,スマートコントラクトの脆弱性を検出する手法を提案する。 永続性、スタックオーバーフローの呼び出し、整数オーバーフロー、タイムスタンプの依存関係の4つのタイプの脆弱性に焦点を当てています。 我々は,6,693のスマートコントラクトを含むEtherscanから収集したオープンソースデータセットを用いて,このアプローチを検証する。
  論文  参考訳（メタデータ） (2024-09-30T23:28:17Z)
• Efficiently Detecting Reentrancy Vulnerabilities in Complex Smart Contracts [35.26195628798847]
  既存の脆弱性検出ツールは、複雑なコントラクトにおける脆弱性の効率性や検出成功率の面では不十分である。 SliSEは、複雑なコントラクトに対するReentrancy脆弱性を検出する堅牢で効率的な方法を提供する。
  論文  参考訳（メタデータ） (2024-03-17T16:08:30Z)
• Blockchain Smart Contract Threat Detection Technology Based on Symbolic Execution [0.0]
  永続性の脆弱性は隠蔽され複雑であり、スマートコントラクトに大きな脅威をもたらす。 本稿では,シンボル実行に基づくスマートコントラクト脅威検出技術を提案する。 実験の結果,本手法は検出効率と精度の両方を著しく向上させることがわかった。
  論文  参考訳（メタデータ） (2023-12-24T03:27:03Z)
• Enhancing Multiple Reliability Measures via Nuisance-extended Information Bottleneck [77.37409441129995]
  トレーニングデータに制限がある現実的なシナリオでは、データ内の多くの予測信号は、データ取得のバイアスからより多く得る。 我々は,相互情報制約の下で,より広い範囲の摂動をカバーできる敵の脅威モデルを考える。 そこで本研究では,その目的を実現するためのオートエンコーダベーストレーニングと,提案したハイブリッド識別世代学習を促進するための実用的なエンコーダ設計を提案する。
  論文  参考訳（メタデータ） (2023-03-24T16:03:21Z)
• ADC: Adversarial attacks against object Detection that evade Context consistency checks [55.8459119462263]
  文脈整合性チェックさえも、適切に構築された敵の例に対して脆弱であることを示す。 このような防御を覆す実例を生成するための適応型フレームワークを提案する。 我々の結果は、コンテキストを堅牢にモデル化し、一貫性をチェックする方法はまだ未解決の問題であることを示している。
  論文  参考訳（メタデータ） (2021-10-24T00:25:09Z)
• Combining Graph Neural Networks with Expert Knowledge for Smart Contract Vulnerability Detection [37.7763374870026]
  既存の契約のセキュリティ分析の取り組みは、労働集約的でスケーリング不能な専門家によって定義された厳格なルールに依存している。 本稿では,正規化グラフからグラフ特徴を抽出する新たな時間的メッセージ伝達ネットワークを提案する。
  論文  参考訳（メタデータ） (2021-07-24T13:16:30Z)
• Adversarial Robustness under Long-Tailed Distribution [93.50792075460336]
  敵対的ロバスト性はディープネットワークの脆弱性と本質的特徴を明らかにすることで近年広く研究されている。 本研究では,長尾分布下における敵対的脆弱性と防御について検討する。 我々は、スケール不変とデータ再分散という2つの専用モジュールからなるクリーンで効果的なフレームワークであるRoBalを提案する。
  論文  参考訳（メタデータ） (2021-04-06T17:53:08Z)
• ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep Neural Network and Transfer Learning [80.85273827468063]
  既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。 スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。 ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
  論文  参考訳（メタデータ） (2021-03-23T15:04:44Z)
• Detection as Regression: Certified Object Detection by Median Smoothing [50.89591634725045]
  この研究は、ランダム化平滑化による認定分類の最近の進歩によって動機付けられている。 我々は、$ell$-bounded攻撃に対するオブジェクト検出のための、最初のモデル非依存、トレーニング不要、認定された防御条件を得る。
  論文  参考訳（メタデータ） (2020-07-07T18:40:19Z)
• Instance-aware, Context-focused, and Memory-efficient Weakly Supervised Object Detection [184.563345153682]
  我々は、弱教師付き学習のためのインスタンス認識とコンテキスト重視の統合フレームワークを開発する。 メモリ効率の高いシーケンシャルバッチバックプロパゲーションを考案しながら、インスタンス対応の自己学習アルゴリズムと学習可能なコンクリートドロップブロックを採用している。 提案手法はCOCO(12.1% AP$、24.8% AP_50$)、VOC 2007(54.9% AP$)、VOC 2012(52.1% AP$)の最先端結果である。
  論文  参考訳（メタデータ） (2020-04-09T17:57:09Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。