論文の概要: Vulnerability anti-patterns in Solidity: Increasing smart contracts security by reducing false alarms

• arxiv url: http://arxiv.org/abs/2410.17204v1
• Date: Tue, 22 Oct 2024 17:21:28 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-10-23 14:30:05.864511
• Title: Vulnerability anti-patterns in Solidity: Increasing smart contracts security by reducing false alarms
• Title（参考訳）: Solidityにおける脆弱性のアンチパターン: 誤報を減らすことによってスマートコントラクトのセキュリティを高める
• Authors: Tommaso Oss, Carlos E. Budde,
• Abstract要約: 我々は、現在の分析の統合と拡張が実現可能なだけでなく、スマートコントラクトセキュリティにおける次の論理的なステップであることを示す。 開発者中心の脆弱性の概念から,Solidityコードの形態と動的性に関する軽量な静的チェックを提案する。
• 参考スコア（独自算出の注目度）: 0.0
• License:
• Abstract: Turing completeness has made Ethereum smart contracts attractive to blockchain developers and attackers alike. To increase code security, many tools can now spot most known vulnerabilities$-$at the cost of production efficiency. Recent studies show false-positive ratios over 99% in state-of-the-art technologies: this makes them impractical for use in industry and have raised questions on the direction of academic research. In this work we show how integrating and extending current analyses is not only feasible, but also a next logical step in smart-contract security. We propose light-weight static checks on the morphology and dynamics of Solidity code, stemming from a developer-centric notion of vulnerability, that we use to verify the output of other tools, flag potential false alarms, and suggest verifications. Besides technical details we implemented an open-source prototype. For three top-10 vulnerabilities it flags 324 warnings of other tools as false-positives, in 60 verified de-duplicated smart contracts selected from the blockchain by the presence of true (and false) vulnerabilities. This amounts to a 92%- to 100%-reduction in the number of false-positives for these vulnerabilities.
• Abstract（参考訳）: チューリング完全性は、Ethereumスマートコントラクトをブロックチェーン開発者やアタッカーにも魅力的なものにしている。 コードのセキュリティを高めるために、多くのツールが既知の脆弱性を、プロダクション効率のコストに対して$-$で見つけられるようになった。 近年の研究では、最先端技術では99%以上の偽陽性比が示されており、これは業界での使用には不実用であり、学術研究の方向性に関する疑問が提起されている。 この研究では、現在の分析の統合と拡張が実現可能であるだけでなく、スマートコントラクトセキュリティにおける次の論理的なステップであることを示す。 我々は、開発者中心の脆弱性の概念、他のツールのアウトプットの検証、潜在的な偽アラームのフラグ、検証の提案から生まれた、Solidityコードの形態とダイナミクスに関する軽量な静的チェックを提案する。 技術的な詳細に加えて、オープンソースのプロトタイプも実装しました。 3つの上位10の脆弱性に対して、324の他のツールの警告を偽陽性として警告し、真(および偽)の脆弱性の存在によってブロックチェーンから選択された非重複のスマートコントラクトを60に認定する。 これは、これらの脆弱性に対する偽陽性の数の92%から100%の減算となる。

関連論文リスト

• Analyzing the Impact of Copying-and-Pasting Vulnerable Solidity Code Snippets from Question-and-Answer Websites [3.844857617939819]
  スマートコントラクトの開発において,Q&A Webサイトから脆弱性のあるコード再利用が与える影響について検討する。 本稿では,コードスニペット(不完全なコード)を解析できるパターンベースの脆弱性検出ツールと,完全なスマートコントラクトを提案する。 以上の結果から,コードスニペットに適用可能な脆弱性検索とコードクローン検出は,最先端のコードスニペットに匹敵することがわかった。
  論文  参考訳（メタデータ） (2024-09-11T19:33:27Z)
• Dual-view Aware Smart Contract Vulnerability Detection for Ethereum [5.002702845720439]
  本報告では,DVDet というデュアルビュー対応スマートコントラクト脆弱性検出フレームワークを提案する。 このフレームワークは最初、スマートコントラクトのソースコードとバイトコードを重み付きグラフに変換し、フローシーケンスを制御する。 データセットの総合的な実験により,我々の手法は脆弱性の検出において他者よりも優れていることが示された。
  論文  参考訳（メタデータ） (2024-06-29T06:47:51Z)
• All Your Tokens are Belong to Us: Demystifying Address Verification Vulnerabilities in Solidity Smart Contracts [24.881450403784786]
  検証のプロセスにおける脆弱性は、大きなセキュリティ問題を引き起こす可能性がある。 静的EVMオペコードシミュレーションに基づく軽量なテナントアナライザであるAVVERIFIERの設計と実装を行う。 500万以上のスマートコントラクトを大規模に評価した結果,コミュニティが公表していない812の脆弱性のあるスマートコントラクトを特定しました。
  論文  参考訳（メタデータ） (2024-05-31T01:02:07Z)
• Static Application Security Testing (SAST) Tools for Smart Contracts: How Far Are We? [14.974832502863526]
  近年,スマートコントラクトセキュリティの重要性が高まっている。 この問題に対処するため、スマートコントラクトの脆弱性を検出するために、多数の静的アプリケーションセキュリティテスト(SAST)ツールが提案されている。 本稿では,スマートコントラクトに対する45種類の脆弱性を含む,最新のきめ細かな分類法を提案する。
  論文  参考訳（メタデータ） (2024-04-28T13:40:18Z)
• Vulnerability Scanners for Ethereum Smart Contracts: A Large-Scale Study [44.25093111430751]
  2023年だけでも、そのような脆弱性は数十億ドルを超える巨額の損失をもたらした。 スマートコントラクトの脆弱性を検出し、軽減するために、さまざまなツールが開発されている。 本研究では,既存のセキュリティスキャナの有効性と,現在も継続している脆弱性とのギャップについて検討する。
  論文  参考訳（メタデータ） (2023-12-27T11:26:26Z)
• Empirical Review of Smart Contract and DeFi Security: Vulnerability Detection and Automated Repair [36.46679501556185]
  分散ファイナンス(DeFi)はピアツーピア金融エコシステムとして台頭している。 スマートコントラクトには 膨大な価値があります 攻撃の魅力的なターゲットになります 本稿では,脆弱性検出と自動修復の観点から,スマートコントラクトとDeFiセキュリティの分野における進歩を概観する。
  論文  参考訳（メタデータ） (2023-09-05T17:00:42Z)
• An Automated Vulnerability Detection Framework for Smart Contracts [18.758795474791427]
  ブロックチェーン上のスマートコントラクトの脆弱性を自動的に検出するフレームワークを提案する。 具体的には、まず、スマートコントラクトのバイトコードから新しい特徴ベクトル生成技術を利用する。 次に、収集したベクトルを新しいメトリック学習ベースディープニューラルネットワーク(DNN)に入力し、検出結果を得る。
  論文  参考訳（メタデータ） (2023-01-20T23:16:04Z)
• Sample-Efficient Safety Assurances using Conformal Prediction [57.92013073974406]
  早期警戒システムは、安全でない状況が差し迫ったときに警告を提供することができる。 安全性を確実に向上させるためには、これらの警告システムは証明可能な偽陰性率を持つべきである。 本稿では,共形予測と呼ばれる統計的推論手法とロボット・環境力学シミュレータを組み合わせたフレームワークを提案する。
  論文  参考訳（メタデータ） (2021-09-28T23:00:30Z)
• Combining Graph Neural Networks with Expert Knowledge for Smart Contract Vulnerability Detection [37.7763374870026]
  既存の契約のセキュリティ分析の取り組みは、労働集約的でスケーリング不能な専門家によって定義された厳格なルールに依存している。 本稿では,正規化グラフからグラフ特徴を抽出する新たな時間的メッセージ伝達ネットワークを提案する。
  論文  参考訳（メタデータ） (2021-07-24T13:16:30Z)
• Smart Contract Vulnerability Detection: From Pure Neural Network to Interpretable Graph Feature and Expert Pattern Fusion [48.744359070088166]
  従来のスマートコントラクトの脆弱性検出方法は、専門家の規則に大きく依存している。 最近のディープラーニングアプローチはこの問題を軽減するが、有用な専門家の知識をエンコードすることができない。 ソースコードから専門家パターンを抽出する自動ツールを開発する。 次に、深いグラフの特徴を抽出するために、コードをセマンティックグラフにキャストします。
  論文  参考訳（メタデータ） (2021-06-17T07:12:13Z)
• ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep Neural Network and Transfer Learning [80.85273827468063]
  既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。 スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。 ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
  論文  参考訳（メタデータ） (2021-03-23T15:04:44Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。