論文の概要: SmartReco: Detecting Read-Only Reentrancy via Fine-Grained Cross-DApp Analysis

• arxiv url: http://arxiv.org/abs/2409.18468v1
• Date: Fri, 27 Sep 2024 06:14:46 GMT
• ステータス: 処理完了
• システム内更新日: 2024-11-06 06:02:07.308598
• Title: SmartReco: Detecting Read-Only Reentrancy via Fine-Grained Cross-DApp Analysis
• Title（参考訳）: SmartReco: 細粒度クロスDApp分析による読み取り専用リテンシの検出
• Authors: Jingwen Zhang, Zibin Zheng, Yuhong Nan, Mingxi Ye, Kaiwen Ning, Yu Zhang, Weizhe Zhang,
• Abstract要約: Read-Only Reentrancy(ROR)攻撃は、すでにDAppエコシステムに約3000万USDの損失をもたらしている。 スマートコントラクトにおける既存の脆弱性検出技術では、ROR攻撃をほとんど検出できない。 静的および動的解析の新たな組み合わせにより,ROR攻撃を検出する新しいフレームワークであるSmartRecoを提案する。
• 参考スコア（独自算出の注目度）: 33.91963752889674
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Despite the increasing popularity of Decentralized Applications (DApps), they are suffering from various vulnerabilities that can be exploited by adversaries for profits. Among such vulnerabilities, Read-Only Reentrancy (called ROR in this paper), is an emerging type of vulnerability that arises from the complex interactions between DApps. In the recent three years, attack incidents of ROR have already caused around 30M USD losses to the DApp ecosystem. Existing techniques for vulnerability detection in smart contracts can hardly detect Read-Only Reentrancy attacks, due to the lack of tracking and analyzing the complex interactions between multiple DApps. In this paper, we propose SmartReco, a new framework for detecting Read-Only Reentrancy vulnerability in DApps through a novel combination of static and dynamic analysis (i.e., fuzzing) over smart contracts. The key design behind SmartReco is threefold: (1) SmartReco identifies the boundary between different DApps from the heavy-coupled cross-contract interactions. (2) SmartReco performs fine-grained static analysis to locate points of interest (i.e., entry functions) that may lead to ROR. (3) SmartReco utilizes the on-chain transaction data and performs multi-function fuzzing (i.e., the entry function and victim function) across different DApps to verify the existence of ROR. Our evaluation of a manual-labeled dataset with 45 RORs shows that SmartReco achieves a precision of 88.63% and a recall of 86.36%. In addition, SmartReco successfully detects 43 new RORs from 123 popular DApps. The total assets affected by such RORs reach around 520,000 USD.
• Abstract（参考訳）: 分散アプリケーション(DApps)の人気は高まっているが、敵が利益のために悪用できる様々な脆弱性に悩まされている。 このような脆弱性の中で、Read-Only Reentrancy(RORと呼ばれる)は、DApp間の複雑な相互作用から生じる、新たなタイプの脆弱性である。 過去3年間で、RORのアタックインシデントは、すでにDAppエコシステムに約3000万USDの損失をもたらしている。 スマートコントラクトにおける既存の脆弱性検出技術は、複数のDApp間の複雑なインタラクションの追跡と分析が欠如しているため、読み取りオンリーのリテンシック攻撃をほとんど検出できない。 本稿では,スマートコントラクト上での静的および動的解析(ファジング)の新たな組み合わせにより,DAppsにおける読み取りオンリーの脆弱性を検出する新しいフレームワークであるSmartRecoを提案する。 SmartRecoは、重結合のクロスコントラクトインタラクションから、異なるDApp間のバウンダリを特定します。 2) SmartRecoは、RORにつながる可能性のある関心点(すなわちエントリ関数)を特定するために、きめ細かい静的解析を行う。 (3) SmartRecoは、オンチェーントランザクションデータを使用し、異なるDApp間でマルチファンクションファジング(すなわち、エントリ関数と犠牲者関数)を行い、RORの存在を検証する。 45のORを持つ手動ラベル付きデータセットの評価では、SmartRecoの精度は88.63%、リコール率は86.36%である。 さらにSmartRecoは、123の人気のDAppsから43の新しいORを正常に検出する。 RORの影響を受けた総資産は約52万USドルに達する。

関連論文リスト

• SmartLLM: Smart Contract Auditing using Custom Generative AI [0.0]
  本稿では,LLaMA 3.1モデルにレトリーバル拡張生成(RAG)を応用した新しいアプローチであるSmartLLMを紹介する。 ERC標準からドメイン固有の知識を統合することで、SmartLLMはMythrilやSlitherのような静的解析ツールよりも優れたパフォーマンスを実現している。 実験の結果、100%の完全なリコールと70%の精度スコアが示され、脆弱性の特定におけるモデルの堅牢性を強調した。
  論文  参考訳（メタデータ） (2025-02-17T06:22:05Z)
• Riddle Me This! Stealthy Membership Inference for Retrieval-Augmented Generation [18.098228823748617]
  本稿では,RAGデータストア内の文書を対象としたメンバシップ推論手法であるInterrogation Attack (IA)を提案する。 ステルス性を維持しながら、たった30クエリで推論に成功したことを実証します。 我々は,様々なRAG構成に対する事前推論攻撃に対して,TPR@1%FPRの2倍の改善が観察された。
  論文  参考訳（メタデータ） (2025-02-01T04:01:18Z)
• Do Automated Fixes Truly Mitigate Smart Contract Exploits? [7.570246812206772]
  本稿では,スマートコントラクトのためのプログラム修復ツールの活用性を評価するための,新しい,体系的な実験フレームワークを提案する。 脆弱なスマートコントラクト143のデータセットを使用して、20の最先端のAPRツールを質的かつ定量的に分析する。 術式は27%から73%に低下した。
  論文  参考訳（メタデータ） (2025-01-08T16:31:59Z)
• SmartInv: Multimodal Learning for Smart Contract Invariant Inference [10.468390413756863]
  We present SmartInv, a accurate and fast smart contract invariant inference framework。 私たちの重要な洞察は、スマートコントラクトの期待される振る舞いは、マルチモーダル情報に対する理解と推論に依存している、ということです。 SmartInvを実世界の契約で評価し、数百万ドルの損失をもたらしたバグを再発見しました。
  論文  参考訳（メタデータ） (2024-11-14T06:28:57Z)
• FreeEagle: Detecting Complex Neural Trojans in Data-Free Cases [50.065022493142116]
  バックドア攻撃とも呼ばれるディープニューラルネットワークに対するトロイの木馬攻撃は、人工知能に対する典型的な脅威である。 FreeEagleは、複雑なバックドア攻撃を効果的に検出できる最初のデータフリーバックドア検出方法である。
  論文  参考訳（メタデータ） (2023-02-28T11:31:29Z)
• Deep Smart Contract Intent Detection [5.642524477190184]
  textscSmartIntentNNは、スマートコントラクトにおける開発意図を自動的に検出するように設計されたディープラーニングモデルである。 我々は4万以上の現実世界のスマートコントラクトを含むデータセットでtextscSmartIntentNNをトレーニングし、評価した。
  論文  参考訳（メタデータ） (2022-11-19T15:40:26Z)
• Backdoor Defense via Suppressing Model Shortcuts [91.30995749139012]
  本稿では,モデル構造の角度からバックドア機構を探索する。 攻撃成功率 (ASR) は, キースキップ接続の出力を減少させると著しく低下することを示した。
  論文  参考訳（メタデータ） (2022-11-02T15:39:19Z)
• Multi-Expert Adversarial Attack Detection in Person Re-identification Using Context Inconsistency [47.719533482898306]
  本稿では,個人再識別(ReID)システムに対する悪意のある攻撃を検知するための,Multi-Expert Adversarial Detection(MEAAD)アプローチを提案する。 ReIDに対する最初の敵攻撃検出アプローチとして、MEAADは様々な敵攻撃を効果的に検出し、高いROC-AUC(97.5%以上)を達成する。
  論文  参考訳（メタデータ） (2021-08-23T01:59:09Z)
• ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep Neural Network and Transfer Learning [80.85273827468063]
  既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。 スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。 ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
  論文  参考訳（メタデータ） (2021-03-23T15:04:44Z)
• Transferable, Controllable, and Inconspicuous Adversarial Attacks on Person Re-identification With Deep Mis-Ranking [83.48804199140758]
  システム出力のランキングを乱す学習とミスランクの定式化を提案する。 また,新たなマルチステージネットワークアーキテクチャを開発することで,バックボックス攻撃を行う。 そこで本手法では, 異なるマルチショットサンプリングにより, 悪意のある画素数を制御することができる。
  論文  参考訳（メタデータ） (2020-04-08T18:48:29Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。