論文の概要: Bridging the Gap: A Comparative Study of Academic and Developer Approaches to Smart Contract Vulnerabilities

• arxiv url: http://arxiv.org/abs/2504.12443v1
• Date: Wed, 16 Apr 2025 19:20:00 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-04-18 14:38:25.024830
• Title: Bridging the Gap: A Comparative Study of Academic and Developer Approaches to Smart Contract Vulnerabilities
• Title（参考訳）: ギャップを埋める - スマートコントラクト脆弱性に対する学術的アプローチと開発者アプローチの比較研究
• Authors: Francesco Salzano, Lodovica Marchesi, Cosmo Kevin Antenucci, Simone Scalabrino, Roberto Tonelli, Rocco Oliveto, Remo Pareschi,
• Abstract要約: スマートコントラクトのセキュリティ脆弱性を修正するために,Solidity開発者が採用した戦略について検討する。 非整合性コミットから文献ではこれまで議論されていなかった27の新たな定着戦略を特定した。 これらの新興パターンは、未調査領域におけるスマートコントラクトを確保するための実行可能なソリューションを提供する。
• 参考スコア（独自算出の注目度）: 5.052062767357937
• License:
• Abstract: In this paper, we investigate the strategies adopted by Solidity developers to fix security vulnerabilities in smart contracts. Vulnerabilities are categorized using the DASP TOP 10 taxonomy, and fixing strategies are extracted from GitHub commits in open-source Solidity projects. Each commit was selected through a two-phase process: an initial filter using natural language processing techniques, followed by manual validation by the authors. We analyzed these commits to evaluate adherence to academic best practices. Our results show that developers often follow established guidelines for well-known vulnerability types such as Reentrancy and Arithmetic. However, in less-documented categories like Denial of Service, Bad Randomness, and Time Manipulation, adherence is significantly lower, suggesting gaps between academic literature and practical development. From non-aligned commits, we identified 27 novel fixing strategies not previously discussed in the literature. These emerging patterns offer actionable solutions for securing smart contracts in underexplored areas. To evaluate the quality of these new fixes, we conducted a questionnaire with academic and industry experts, who assessed each strategy based on Generalizability, Long-term Sustainability, and Effectiveness. Additionally, we performed a post-fix analysis by tracking subsequent commits to the fixed files, assessing the persistence and evolution of the fixes over time. Our findings offer an empirically grounded view of how vulnerabilities are addressed in practice, bridging theoretical knowledge and real-world solutions in the domain of smart contract security.
• Abstract（参考訳）: 本稿では,スマートコントラクトのセキュリティ脆弱性を修正するために,Solidity開発者が採用した戦略について検討する。 DASP TOP 10分類を使用して脆弱性を分類し、オープンソースのSolidityプロジェクトでGitHubコミットから修正戦略を抽出する。 各コミットは、自然言語処理技術を使った初期フィルタと、著者による手作業による検証という、2段階のプロセスによって選択された。 我々はこれらのコミットを分析し、学術的ベストプラクティスへの順守を評価した。 我々の結果は、開発者がReentrancyやArithmeticといったよく知られた脆弱性タイプに関する確立したガイドラインに従うことが多いことを示している。 しかし、Denial of Service、Bad Randomness、Time Manipulationなどの文書化されていないカテゴリーでは、定着度は著しく低く、学術文学と実践的発展のギャップを示唆している。 非整合性コミットから文献ではこれまで議論されていなかった27の新たな定着戦略を特定した。 これらの新興パターンは、未調査領域におけるスマートコントラクトを確保するための実行可能なソリューションを提供する。 本研究は,これらの修正の質を評価するために,一般性,長期持続性,有効性に基づく各戦略の評価を行った学術・産業の専門家を対象に,アンケート調査を行った。 さらに、修正後のファイルへのコミットを追跡し、時間とともに修正の持続性と進化を評価することで、修正後の分析を行った。 私たちの発見は、スマートコントラクトセキュリティの領域において、理論的知識と現実のソリューションを橋渡しして、脆弱性が実際にどのように対処されているかについて、実証的に根拠づけられた見解を提供します。

関連論文リスト

• Vulnerability Detection in Ethereum Smart Contracts via Machine Learning: A Qualitative Analysis [0.0]
  スマートコントラクトに対する機械学習の脆弱性検出における技術の現状を分析する。 スマートコントラクトにおける脆弱性検出の精度,スコープ,効率を高めるためのベストプラクティスについて議論する。
  論文  参考訳（メタデータ） (2024-07-26T10:09:44Z)
• Contractual Reinforcement Learning: Pulling Arms with Invisible Hands [68.77645200579181]
  本稿では,契約設計によるオンライン学習問題において,利害関係者の経済的利益を整合させる理論的枠組みを提案する。 計画問題に対して、遠目エージェントに対する最適契約を決定するための効率的な動的プログラミングアルゴリズムを設計する。 学習問題に対して,契約の堅牢な設計から探索と搾取のバランスに至るまでの課題を解き放つために,非回帰学習アルゴリズムの汎用設計を導入する。
  論文  参考訳（メタデータ） (2024-07-01T16:53:00Z)
• Soley: Identification and Automated Detection of Logic Vulnerabilities in Ethereum Smart Contracts Using Large Language Models [1.081463830315253]
  GitHubのコード変更から抽出された実世界のスマートコントラクトのロジック脆弱性を実証的に調査する。 本稿では,スマートコントラクトにおける論理的脆弱性の自動検出手法であるSoleyを紹介する。 スマートコントラクト開発者が実際のシナリオでこれらの脆弱性に対処するために使用する緩和戦略について検討する。
  論文  参考訳（メタデータ） (2024-06-24T00:15:18Z)
• Multi-Agent Imitation Learning: Value is Easy, Regret is Hard [52.31989962031179]
  我々は,エージェント群を協調させようとする学習者の視点で,マルチエージェント模倣学習(MAIL)問題を研究する。 MAILの以前の作業のほとんどは、基本的には、デモのサポート内で専門家の振る舞いにマッチする問題を減らすものです。 エージェントが戦略的でないという仮定の下で、学習者と専門家の間の価値ギャップをゼロにするのに十分であるが、戦略的エージェントによる逸脱を保証するものではない。
  論文  参考訳（メタデータ） (2024-06-06T16:18:20Z)
• Vulnerabilities of smart contracts and mitigation schemes: A Comprehensive Survey [0.6554326244334866]
  本稿では,開発者がセキュアなスマート技術を開発するのを支援することを目的とした,文献レビューと実験報告を組み合わせる。 頻繁な脆弱性とそれに対応する緩和ソリューションのリストを提供する。 サンプルのスマートコントラクト上でそれらを実行し、テストすることで、コミュニティが最も広く使用しているツールを評価します。
  論文  参考訳（メタデータ） (2024-03-28T19:36:53Z)
• Fixing Smart Contract Vulnerabilities: A Comparative Analysis of Literature and Developer's Practices [6.09162202256218]
  文献で見られるような脆弱性の修正をガイドラインとして挙げる。 開発者がこれらのガイドラインにどの程度準拠しているか、あるいは他の実行可能な共通ソリューションがあるのか、それらが何であるかは明らかではない。 本研究の目的は,開発者が既存のガイドラインを遵守することに関連する知識ギャップを埋めることと,セキュリティ脆弱性に対する新たな,実行可能なソリューションを提案することである。
  論文  参考訳（メタデータ） (2024-03-12T09:55:54Z)
• Robust Representation Learning for Unreliable Partial Label Learning [86.909511808373]
  部分ラベル学習(Partial Label Learning, PLL)は、弱い教師付き学習の一種で、各トレーニングインスタンスに候補ラベルのセットが割り当てられる。 これはUn Reliable partial Label Learning (UPLL) と呼ばれ、部分ラベルの本質的な信頼性の欠如とあいまいさにより、さらなる複雑さをもたらす。 本研究では,信頼できない部分ラベルに対するモデル強化を支援するために,信頼性に欠けるコントラスト学習を活用するUnreliability-Robust Representation Learning framework(URRL)を提案する。
  論文  参考訳（メタデータ） (2023-08-31T13:37:28Z)
• SmartBook: AI-Assisted Situation Report Generation for Intelligence Analysts [55.73424958012229]
  この研究は、状況報告生成におけるAI支援のためのインテリジェンスアナリストの実践と嗜好を特定する。 本稿では,大量のニュースデータから状況報告を自動生成するフレームワークSmartBookを紹介する。 我々は,SmartBookの総合的な評価を行い,ユーザによるコンテントレビューと編集調査を併用し,正確な状況報告を生成する上でのSmartBookの有効性を明らかにした。
  論文  参考訳（メタデータ） (2023-03-25T03:03:00Z)
• Pre-deployment Analysis of Smart Contracts -- A Survey [0.27195102129095]
  本稿では,スマートコントラクトの脆弱性と方法に関する文献を体系的にレビューする。 具体的には、スマートコントラクトの脆弱性とメソッドを、それらが対処するプロパティによって列挙し分類します。 異なる手法の強みに関するいくつかのパターンがこの分類プロセスを通して現れる。
  論文  参考訳（メタデータ） (2023-01-15T12:36:56Z)
• Semantic-Preserving Adversarial Code Comprehension [75.76118224437974]
  本稿では,セマンティック・セマンティック・セマンティック・セマンティック・セマンティック・セマンティック・セマンティック・セマンティック・セマンティック・セマンティック・セマンティック・セマンティック・セマンティック・セマンティック・セマンティック・セマンティック・セマンティック・セマンティック・セマンティック・アタック(SPACE)を提案する。 実験と分析により、SPACEは、コードに対するPrLMのパフォーマンスを高めながら、最先端の攻撃に対して堅牢であることを示す。
  論文  参考訳（メタデータ） (2022-09-12T10:32:51Z)
• ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep Neural Network and Transfer Learning [80.85273827468063]
  既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。 スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。 ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
  論文  参考訳（メタデータ） (2021-03-23T15:04:44Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。