論文の概要: Analyzing the Impact of Copying-and-Pasting Vulnerable Solidity Code Snippets from Question-and-Answer Websites

• arxiv url: http://arxiv.org/abs/2409.07586v1
• Date: Wed, 11 Sep 2024 19:33:27 GMT
• ステータス: 処理完了
• システム内更新日: 2024-09-13 18:31:44.680358
• Title: Analyzing the Impact of Copying-and-Pasting Vulnerable Solidity Code Snippets from Question-and-Answer Websites
• Title（参考訳）: 質問・回答サイトからのコピー・アンド・ペーストしやすさコードスニペットの影響の分析
• Authors: Konrad Weiss, Christof Ferreira Torres, Florian Wendland,
• Abstract要約: スマートコントラクトの開発において,Q&A Webサイトから脆弱性のあるコード再利用が与える影響について検討する。 本稿では,コードスニペット(不完全なコード)を解析できるパターンベースの脆弱性検出ツールと,完全なスマートコントラクトを提案する。 以上の結果から,コードスニペットに適用可能な脆弱性検索とコードクローン検出は,最先端のコードスニペットに匹敵することがわかった。
• 参考スコア（独自算出の注目度）: 3.844857617939819
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Ethereum smart contracts are executable programs deployed on a blockchain. Once deployed, they cannot be updated due to their inherent immutability. Moreover, they often manage valuable assets that are worth millions of dollars, making them attractive targets for attackers. The introduction of vulnerabilities in programs due to the reuse of vulnerable code posted on Q&A websites such as Stack Overflow is not a new issue. However, little effort has been made to analyze the extent of this issue on deployed smart contracts. In this paper, we conduct a study on the impact of vulnerable code reuse from Q&A websites during the development of smart contracts and provide tools uniquely fit to detect vulnerable code patterns in complete and incomplete Smart Contract code. This paper proposes a pattern-based vulnerability detection tool that is able to analyze code snippets (i.e., incomplete code) as well as full smart contracts based on the concept of code property graphs. We also propose a methodology that leverages fuzzy hashing to quickly detect code clones of vulnerable snippets among deployed smart contracts. Our results show that our vulnerability search, as well as our code clone detection, are comparable to state-of-the-art while being applicable to code snippets. Our large-scale study on 18,660 code snippets reveals that 4,596 of them are vulnerable, out of which 616 can be found in 7,852 deployed smart contracts. These results highlight that the reuse of vulnerable code snippets is indeed an issue in currently deployed smart contracts.
• Abstract（参考訳）: Ethereumスマートコントラクトは、ブロックチェーン上にデプロイされる実行可能なプログラムである。 一度デプロイすると、固有の不変性のために更新できない。 さらに、彼らはしばしば数百万ドルの価値ある資産を管理し、攻撃者にとって魅力的なターゲットとなる。 Stack OverflowのようなQ&Aウェブサイトにポストされた脆弱性のあるコードの再利用によるプログラムの脆弱性の導入は、新しい問題ではない。 しかしながら、デプロイされたスマートコントラクトにおけるこの問題の程度を分析するための努力はほとんど行われていない。 本稿では,スマートコントラクト開発におけるQ&A Webサイトからの脆弱なコード再利用の影響について検討し,完全かつ不完全なSmart Contractコードにおいて,脆弱なコードパターンの検出にユニークなツールを提供する。 本稿では,コードスニペット(不完全なコード)を解析できるパターンベースの脆弱性検出ツールと,コードプロパティグラフの概念に基づいた完全なスマートコントラクトを提案する。 また、ファジィハッシュを利用して、デプロイされたスマートコントラクト間の脆弱なスニペットのコードクローンを迅速に検出する手法を提案する。 以上の結果から,コードスニペットに適用可能な脆弱性検索とコードクローン検出は,最先端のコードスニペットに匹敵することがわかった。 18,660のコードスニペットに関する大規模な調査によると、そのうち4,596件が脆弱で、うち7,852件のデプロイされたスマートコントラクトで616件が見つかる。 これらの結果は、脆弱性のあるコードスニペットの再利用が、現在デプロイされているスマートコントラクトの問題であることを示している。

関連論文リスト

• RedCode: Risky Code Execution and Generation Benchmark for Code Agents [50.81206098588923]
  RedCodeはリスクの高いコード実行と生成のためのベンチマークである。 RedCode-Execは、危険なコード実行につながる可能性のある、挑戦的なプロンプトを提供する。 RedCode-Genは160のプロンプトに関数シグネチャとドキュメントを入力として提供し、コードエージェントが命令に従うかどうかを評価する。
  論文  参考訳（メタデータ） (2024-11-12T13:30:06Z)
• Vulnerability anti-patterns in Solidity: Increasing smart contracts security by reducing false alarms [0.0]
  我々は、現在の分析の統合と拡張が実現可能なだけでなく、スマートコントラクトセキュリティにおける次の論理的なステップであることを示す。 開発者中心の脆弱性の概念から,Solidityコードの形態と動的性に関する軽量な静的チェックを提案する。
  論文  参考訳（メタデータ） (2024-10-22T17:21:28Z)
• Vulseye: Detect Smart Contract Vulnerabilities via Stateful Directed Graybox Fuzzing [15.974697197575304]
  Vulseyeは、脆弱性によってガイドされるスマートコントラクトのためのステートフルな指示付きグレーボックスファザである。 我々は、Vulseyeのテストターゲットとして、Code TargetsとState Targetsをファジリングループに導入する。 最先端のファッツェと比較して、ヴァルゼーは優れた効果と効率を示した。
  論文  参考訳（メタデータ） (2024-08-19T16:03:03Z)
• Identifying Smart Contract Security Issues in Code Snippets from Stack Overflow [34.79673982473015]
  SOCheckerは、不完全なSOスマートコントラクトコードスニペットの潜在的な脆弱性を特定するツールである。 その結果、SOCheckerのF1スコアは68.2%で、GPT-3.5とGPT-4を大きく上回った。 この結果から,Q&A Webサイトのコードスニペットのセキュリティ向上の必要性が浮き彫りになった。
  論文  参考訳（メタデータ） (2024-07-18T08:25:16Z)
• FV8: A Forced Execution JavaScript Engine for Detecting Evasive Techniques [53.288368877654705]
  FV8はJavaScriptコードの回避テクニックを特定するために設計された修正V8 JavaScriptエンジンである。 動的コードを条件付きで注入するAPI上でのコード実行を選択的に実施する。 1,443のnpmパッケージと、少なくとも1つのタイプのエスケープを含む164の(82%)拡張を識別する。
  論文  参考訳（メタデータ） (2024-05-21T19:54:19Z)
• Vulnerabilities of smart contracts and mitigation schemes: A Comprehensive Survey [0.6554326244334866]
  本稿では,開発者がセキュアなスマート技術を開発するのを支援することを目的とした,文献レビューと実験報告を組み合わせる。 頻繁な脆弱性とそれに対応する緩和ソリューションのリストを提供する。 サンプルのスマートコントラクト上でそれらを実行し、テストすることで、コミュニティが最も広く使用しているツールを評価します。
  論文  参考訳（メタデータ） (2024-03-28T19:36:53Z)
• Vulnerability Scanners for Ethereum Smart Contracts: A Large-Scale Study [44.25093111430751]
  2023年だけでも、そのような脆弱性は数十億ドルを超える巨額の損失をもたらした。 スマートコントラクトの脆弱性を検出し、軽減するために、さまざまなツールが開発されている。 本研究では,既存のセキュリティスキャナの有効性と,現在も継続している脆弱性とのギャップについて検討する。
  論文  参考訳（メタデータ） (2023-12-27T11:26:26Z)
• Formally Verifying a Real World Smart Contract [52.30656867727018]
  われわれは、Solidityの最新バージョンで書かれた現実世界のスマートコントラクトを正式に検証できるツールを検索する。 本稿では,最近のSolidityで書かれた実世界のスマートコントラクトを正式に検証できるツールについて紹介する。
  論文  参考訳（メタデータ） (2023-07-05T14:30:21Z)
• An Automated Vulnerability Detection Framework for Smart Contracts [18.758795474791427]
  ブロックチェーン上のスマートコントラクトの脆弱性を自動的に検出するフレームワークを提案する。 具体的には、まず、スマートコントラクトのバイトコードから新しい特徴ベクトル生成技術を利用する。 次に、収集したベクトルを新しいメトリック学習ベースディープニューラルネットワーク(DNN)に入力し、検出結果を得る。
  論文  参考訳（メタデータ） (2023-01-20T23:16:04Z)
• Smart Contract Vulnerability Detection: From Pure Neural Network to Interpretable Graph Feature and Expert Pattern Fusion [48.744359070088166]
  従来のスマートコントラクトの脆弱性検出方法は、専門家の規則に大きく依存している。 最近のディープラーニングアプローチはこの問題を軽減するが、有用な専門家の知識をエンコードすることができない。 ソースコードから専門家パターンを抽出する自動ツールを開発する。 次に、深いグラフの特徴を抽出するために、コードをセマンティックグラフにキャストします。
  論文  参考訳（メタデータ） (2021-06-17T07:12:13Z)
• ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep Neural Network and Transfer Learning [80.85273827468063]
  既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。 スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。 ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
  論文  参考訳（メタデータ） (2021-03-23T15:04:44Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。