論文の概要: COBRA: Interaction-Aware Bytecode-Level Vulnerability Detector for Smart Contracts

• arxiv url: http://arxiv.org/abs/2410.20712v1
• Date: Mon, 28 Oct 2024 03:55:09 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-10-29 12:20:03.785982
• Title: COBRA: Interaction-Aware Bytecode-Level Vulnerability Detector for Smart Contracts
• Title（参考訳）: COBRA:スマートコントラクトのためのインタラクション対応バイトコードレベル脆弱性検出器
• Authors: Wenkai Li, Xiaoqi Li, Zongwei Li, Yuqing Zhang,
• Abstract要約: スマートコントラクトの脆弱性を検出するために,セマンティックコンテキストと関数インターフェースを統合したフレームワークであるCOBRAを提案する。 署名データベースに存在しない関数シグネチャを推測するために,スマートコントラクトバイトコードから関数シグネチャの規則を自動的に学習するSRIFを提案する。 実験の結果、SRIFは関数シグネチャ推論において94.76%のF1スコアを達成できることが示された。
• 参考スコア（独自算出の注目度）: 4.891180928768215
• License:
• Abstract: The detection of vulnerabilities in smart contracts remains a significant challenge. While numerous tools are available for analyzing smart contracts in source code, only about 1.79% of smart contracts on Ethereum are open-source. For existing tools that target bytecodes, most of them only consider the semantic logic context and disregard function interface information in the bytecodes. In this paper, we propose COBRA, a novel framework that integrates semantic context and function interfaces to detect vulnerabilities in bytecodes of the smart contract. To our best knowledge, COBRA is the first framework that combines these two features. Moreover, to infer the function signatures that are not present in signature databases, we present SRIF (Signatures Reverse Inference from Functions), automatically learn the rules of function signatures from the smart contract bytecodes. The bytecodes associated with the function signatures are collected by constructing a control flow graph (CFG) for the SRIF training. We optimize the semantic context using the operation code in the static single assignment (SSA) format. Finally, we integrate the context and function interface representations in the latent space as the contract feature embedding. The contract features in the hidden space are decoded for vulnerability classifications with a decoder and attention module. Experimental results demonstrate that SRIF can achieve 94.76% F1-score for function signature inference. Furthermore, when the ground truth ABI exists, COBRA achieves 93.45% F1-score for vulnerability classification. In the absence of ABI, the inferred function feature fills the encoder, and the system accomplishes an 89.46% recall rate.
• Abstract（参考訳）: スマートコントラクトにおける脆弱性の検出は依然として大きな課題である。 ソースコードのスマートコントラクトを解析するための多くのツールが提供されているが、Ethereum上のスマートコントラクトの約1.79%はオープンソースである。 バイトコードをターゲットとする既存のツールでは、その多くはセマンティックロジックコンテキストのみを考慮しており、バイトコード内の関数インターフェース情報を無視している。 本稿では,セマンティックコンテキストと関数インタフェースを統合し,スマートコントラクトのバイトコードの脆弱性を検出する新しいフレームワークであるCOBRAを提案する。 私たちの知る限りでは、COBRAはこれら2つの機能を組み合わせた最初のフレームワークです。 さらに、署名データベースに存在しない関数シグネチャを推測するために、SRIF(Signatures Reverse Inference from Function)を提示し、スマートコントラクトバイトコードから関数シグネチャのルールを自動的に学習する。 SRIFトレーニング用の制御フローグラフ(CFG)を構築することにより、関数シグネチャに関連するバイトコードを収集する。 静的単一代入(SSA)フォーマットの操作コードを用いて意味コンテキストを最適化する。 最後に、コンテクストと関数インターフェースの表現を、契約機能の埋め込みとして潜在空間に統合する。 隠れたスペースのコントラクト機能は、デコーダとアテンションモジュールを備えた脆弱性分類のためにデコードされる。 実験の結果、SRIFは関数シグネチャ推論において94.76%のF1スコアを達成できることが示された。 さらに、ABIが存在する場合、COBRAは脆弱性分類において93.45%のF1スコアを達成している。 ABIがなければ、推論関数機能はエンコーダを埋め、システムは89.46%のリコール率を達成する。

関連論文リスト

• Analyzing the Impact of Copying-and-Pasting Vulnerable Solidity Code Snippets from Question-and-Answer Websites [3.844857617939819]
  スマートコントラクトの開発において,Q&A Webサイトから脆弱性のあるコード再利用が与える影響について検討する。 本稿では,コードスニペット(不完全なコード)を解析できるパターンベースの脆弱性検出ツールと,完全なスマートコントラクトを提案する。 以上の結果から,コードスニペットに適用可能な脆弱性検索とコードクローン検出は,最先端のコードスニペットに匹敵することがわかった。
  論文  参考訳（メタデータ） (2024-09-11T19:33:27Z)
• Identifying Smart Contract Security Issues in Code Snippets from Stack Overflow [34.79673982473015]
  SOCheckerは、不完全なSOスマートコントラクトコードスニペットの潜在的な脆弱性を特定するツールである。 その結果、SOCheckerのF1スコアは68.2%で、GPT-3.5とGPT-4を大きく上回った。 この結果から,Q&A Webサイトのコードスニペットのセキュリティ向上の必要性が浮き彫りになった。
  論文  参考訳（メタデータ） (2024-07-18T08:25:16Z)
• Effective Targeted Testing of Smart Contracts [0.0]
  スマートコントラクトは不変であるため、バグを修正することはできない。 我々のフレームワークであるGriffinは、テストデータを生成するためにターゲットとなるシンボル実行技術を用いて、この欠陥に対処する。 本稿では、スマートコントラクトがターゲットとなるシンボル実行におけるレガシーソフトウェアとどのように異なるのか、そしてこれらの違いがツール構造に与える影響について論じる。
  論文  参考訳（メタデータ） (2024-07-05T04:38:11Z)
• FoC: Figure out the Cryptographic Functions in Stripped Binaries with LLMs [54.27040631527217]
  削除されたバイナリの暗号関数を抽出するFoCと呼ばれる新しいフレームワークを提案する。 FoC-BinLLMは、ROUGE-LスコアでChatGPTを14.61%上回った。 FoC-Simは52%高いRecall@1で過去のベストメソッドを上回っている。
  論文  参考訳（メタデータ） (2024-03-27T09:45:33Z)
• SigRec: Automatic Recovery of Function Signatures in Smart Contracts [40.20115707680234]
  デバッグ情報も型情報もバイトコードには存在しないため、コントラクトバイトコードから関数シグネチャを復元することは難しい。 我々は,ソースコードや関数シグネチャデータベースを必要とせずに,コントラクトバイトコードから関数シグネチャを復元する新しいツールであるSigRecを開発した。
  論文  参考訳（メタデータ） (2023-05-11T18:03:39Z)
• SimCLF: A Simple Contrastive Learning Framework for Function-level Binary Embeddings [2.1222884030559315]
  関数レベルのバイナリ埋め込みのための単純なコントラスト学習フレームワークSimCLFを提案する。 我々は教師なし学習アプローチを採用し、インスタンス識別としてバイナリコード類似性検出を定式化する。 SimCLFは分解されたバイナリ関数を直接操作し、任意のエンコーダで実装できる。
  論文  参考訳（メタデータ） (2022-09-06T12:09:45Z)
• Enhancing Semantic Code Search with Multimodal Contrastive Learning and Soft Data Augmentation [50.14232079160476]
  コード検索のためのマルチモーダルコントラスト学習とソフトデータ拡張を用いた新しい手法を提案する。 我々は,6つのプログラミング言語を用いた大規模データセットにおけるアプローチの有効性を評価するために,広範囲な実験を行った。
  論文  参考訳（メタデータ） (2022-04-07T08:49:27Z)
• ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep Neural Network and Transfer Learning [80.85273827468063]
  既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。 スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。 ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
  論文  参考訳（メタデータ） (2021-03-23T15:04:44Z)
• Contrastive Code Representation Learning [95.86686147053958]
  一般的な再構成に基づくBERTモデルは,ソースコードの編集に敏感であることを示す。 コントラコード(ContraCode)は、コード機能を学ぶのにフォームではなく、コントラスト的な事前学習タスクである。
  論文  参考訳（メタデータ） (2020-07-09T17:59:06Z)
• Robust Encodings: A Framework for Combating Adversarial Typos [85.70270979772388]
  NLPシステムは入力の小さな摂動によって容易に騙される。 このような混乱に対して防御するための既存の手順は、最悪の場合の攻撃に対して確実な堅牢性を提供する。 モデルアーキテクチャに妥協を加えることなく、ロバスト性を保証するロブエン(RobEn)を導入します。
  論文  参考訳（メタデータ） (2020-05-04T01:28:18Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。