論文の概要: SmartReco: Detecting Read-Only Reentrancy via Fine-Grained Cross-DApp Analysis
- arxiv url: http://arxiv.org/abs/2409.18468v1
- Date: Fri, 27 Sep 2024 06:14:46 GMT
- ステータス: 処理完了
- システム内更新日: 2024-11-06 06:02:07.308598
- Title: SmartReco: Detecting Read-Only Reentrancy via Fine-Grained Cross-DApp Analysis
- Title(参考訳): SmartReco: 細粒度クロスDApp分析による読み取り専用リテンシの検出
- Authors: Jingwen Zhang, Zibin Zheng, Yuhong Nan, Mingxi Ye, Kaiwen Ning, Yu Zhang, Weizhe Zhang,
- Abstract要約: Read-Only Reentrancy(ROR)攻撃は、すでにDAppエコシステムに約3000万USDの損失をもたらしている。
スマートコントラクトにおける既存の脆弱性検出技術では、ROR攻撃をほとんど検出できない。
静的および動的解析の新たな組み合わせにより,ROR攻撃を検出する新しいフレームワークであるSmartRecoを提案する。
- 参考スコア(独自算出の注目度): 33.91963752889674
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Despite the increasing popularity of Decentralized Applications (DApps), they are suffering from various vulnerabilities that can be exploited by adversaries for profits. Among such vulnerabilities, Read-Only Reentrancy (called ROR in this paper), is an emerging type of vulnerability that arises from the complex interactions between DApps. In the recent three years, attack incidents of ROR have already caused around 30M USD losses to the DApp ecosystem. Existing techniques for vulnerability detection in smart contracts can hardly detect Read-Only Reentrancy attacks, due to the lack of tracking and analyzing the complex interactions between multiple DApps. In this paper, we propose SmartReco, a new framework for detecting Read-Only Reentrancy vulnerability in DApps through a novel combination of static and dynamic analysis (i.e., fuzzing) over smart contracts. The key design behind SmartReco is threefold: (1) SmartReco identifies the boundary between different DApps from the heavy-coupled cross-contract interactions. (2) SmartReco performs fine-grained static analysis to locate points of interest (i.e., entry functions) that may lead to ROR. (3) SmartReco utilizes the on-chain transaction data and performs multi-function fuzzing (i.e., the entry function and victim function) across different DApps to verify the existence of ROR. Our evaluation of a manual-labeled dataset with 45 RORs shows that SmartReco achieves a precision of 88.63% and a recall of 86.36%. In addition, SmartReco successfully detects 43 new RORs from 123 popular DApps. The total assets affected by such RORs reach around 520,000 USD.
- Abstract(参考訳): 分散アプリケーション(DApps)の人気は高まっているが、敵が利益のために悪用できる様々な脆弱性に悩まされている。
このような脆弱性の中で、Read-Only Reentrancy(RORと呼ばれる)は、DApp間の複雑な相互作用から生じる、新たなタイプの脆弱性である。
過去3年間で、RORのアタックインシデントは、すでにDAppエコシステムに約3000万USDの損失をもたらしている。
スマートコントラクトにおける既存の脆弱性検出技術は、複数のDApp間の複雑なインタラクションの追跡と分析が欠如しているため、読み取りオンリーのリテンシック攻撃をほとんど検出できない。
本稿では,スマートコントラクト上での静的および動的解析(ファジング)の新たな組み合わせにより,DAppsにおける読み取りオンリーの脆弱性を検出する新しいフレームワークであるSmartRecoを提案する。
SmartRecoは、重結合のクロスコントラクトインタラクションから、異なるDApp間のバウンダリを特定します。
2) SmartRecoは、RORにつながる可能性のある関心点(すなわちエントリ関数)を特定するために、きめ細かい静的解析を行う。
(3) SmartRecoは、オンチェーントランザクションデータを使用し、異なるDApp間でマルチファンクションファジング(すなわち、エントリ関数と犠牲者関数)を行い、RORの存在を検証する。
45のORを持つ手動ラベル付きデータセットの評価では、SmartRecoの精度は88.63%、リコール率は86.36%である。
さらにSmartRecoは、123の人気のDAppsから43の新しいORを正常に検出する。
RORの影響を受けた総資産は約52万USドルに達する。
関連論文リスト
- SmartInv: Multimodal Learning for Smart Contract Invariant Inference [10.468390413756863]
We present SmartInv, a accurate and fast smart contract invariant inference framework。
私たちの重要な洞察は、スマートコントラクトの期待される振る舞いは、マルチモーダル情報に対する理解と推論に依存している、ということです。
SmartInvを実世界の契約で評価し、数百万ドルの損失をもたらしたバグを再発見しました。
論文 参考訳(メタデータ) (2024-11-14T06:28:57Z) - SmartAxe: Detecting Cross-Chain Vulnerabilities in Bridge Smart Contracts via Fine-Grained Static Analysis [28.420618636956924]
ブロックチェーンブリッジは、さまざまなブロックチェーンプラットフォーム間でのアセット交換のための分散アプリケーションである。
最近のセキュリティインシデントでは、スマートコントラクトのブリッジの脆弱性によって大きな損失が発生している。
スマートコントラクトのクロスチェーンブリッジにおける脆弱性を特定するための,新たなフレームワークであるSmartAxeを提案する。
論文 参考訳(メタデータ) (2024-06-23T03:25:27Z) - SmartState: Detecting State-Reverting Vulnerabilities in Smart Contracts via Fine-Grained State-Dependency Analysis [25.364505252702028]
SRV(State-Reverting Vulnerability)は、違法な利益獲得やDoS(Deny-of-Service)といったセキュリティ上の影響をもたらす可能性がある。
本稿では,Solidityスマートコントラクトにおける状態反転脆弱性を検出するための新しいフレームワークであるSmartStateを提案する。
さらにSmartStateは、47,351の現実世界のスマートコントラクトから406の新しいSRVを正常に識別する。
論文 参考訳(メタデータ) (2024-06-23T02:51:23Z) - Vulnerability Scanners for Ethereum Smart Contracts: A Large-Scale Study [44.25093111430751]
2023年だけでも、そのような脆弱性は数十億ドルを超える巨額の損失をもたらした。
スマートコントラクトの脆弱性を検出し、軽減するために、さまざまなツールが開発されている。
本研究では,既存のセキュリティスキャナの有効性と,現在も継続している脆弱性とのギャップについて検討する。
論文 参考訳(メタデータ) (2023-12-27T11:26:26Z) - FreeEagle: Detecting Complex Neural Trojans in Data-Free Cases [50.065022493142116]
バックドア攻撃とも呼ばれるディープニューラルネットワークに対するトロイの木馬攻撃は、人工知能に対する典型的な脅威である。
FreeEagleは、複雑なバックドア攻撃を効果的に検出できる最初のデータフリーバックドア検出方法である。
論文 参考訳(メタデータ) (2023-02-28T11:31:29Z) - Deep Smart Contract Intent Detection [5.642524477190184]
textscSmartIntentNNは、スマートコントラクトにおける開発意図を自動的に検出するように設計されたディープラーニングモデルである。
実世界の4万以上のスマートコントラクトからなるデータセット上で,TextscSmartIntentNNをトレーニングし,評価した。
論文 参考訳(メタデータ) (2022-11-19T15:40:26Z) - Backdoor Defense via Suppressing Model Shortcuts [91.30995749139012]
本稿では,モデル構造の角度からバックドア機構を探索する。
攻撃成功率 (ASR) は, キースキップ接続の出力を減少させると著しく低下することを示した。
論文 参考訳(メタデータ) (2022-11-02T15:39:19Z) - Multi-Expert Adversarial Attack Detection in Person Re-identification
Using Context Inconsistency [47.719533482898306]
本稿では,個人再識別(ReID)システムに対する悪意のある攻撃を検知するための,Multi-Expert Adversarial Detection(MEAAD)アプローチを提案する。
ReIDに対する最初の敵攻撃検出アプローチとして、MEAADは様々な敵攻撃を効果的に検出し、高いROC-AUC(97.5%以上)を達成する。
論文 参考訳(メタデータ) (2021-08-23T01:59:09Z) - ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep
Neural Network and Transfer Learning [80.85273827468063]
既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。
スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。
ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
論文 参考訳(メタデータ) (2021-03-23T15:04:44Z) - Transferable, Controllable, and Inconspicuous Adversarial Attacks on
Person Re-identification With Deep Mis-Ranking [83.48804199140758]
システム出力のランキングを乱す学習とミスランクの定式化を提案する。
また,新たなマルチステージネットワークアーキテクチャを開発することで,バックボックス攻撃を行う。
そこで本手法では, 異なるマルチショットサンプリングにより, 悪意のある画素数を制御することができる。
論文 参考訳(メタデータ) (2020-04-08T18:48:29Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。