論文の概要: Insecurity Through Obscurity: Veiled Vulnerabilities in Closed-Source Contracts
- arxiv url: http://arxiv.org/abs/2504.13398v1
- Date: Fri, 18 Apr 2025 01:22:58 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-04-28 19:46:45.400841
- Title: Insecurity Through Obscurity: Veiled Vulnerabilities in Closed-Source Contracts
- Title(参考訳): 不確実性によるセキュリティの低下 - クローズドソース契約における脆弱性の回避
- Authors: Sen Yang, Kaihua Qin, Aviv Yaish, Fan Zhang,
- Abstract要約: 本稿では、クローズドソースおよび難読化コントラクトに適した新しいバイトコード解析ツールであるSKANFを紹介する。
SKANFは、コントロールフローの難読化、シンボリック実行、そして過去のトランザクションに基づくコンコリック実行を組み合わせて、資産管理の脆弱性を特定して活用する。
実世界の最大抽出値(MEV)ボットの評価では、SKANFが1,028の契約で脆弱性を検出し、373件のエクスプロイトをうまく生成し、潜在的な損失は9.0億ドルを超えた。
- 参考スコア(独自算出の注目度): 8.824841117757655
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Most blockchains cannot hide the binary code of programs (i.e., smart contracts) running on them. To conceal proprietary business logic and to potentially deter attacks, many smart contracts are closed-source and employ layers of obfuscation. However, we demonstrate that such obfuscation can obscure critical vulnerabilities rather than enhance security, a phenomenon we term insecurity through obscurity. To systematically analyze these risks on a large scale, we present SKANF, a novel EVM bytecode analysis tool tailored for closed-source and obfuscated contracts. SKANF combines control-flow deobfuscation, symbolic execution, and concolic execution based on historical transactions to identify and exploit asset management vulnerabilities. Our evaluation on real-world Maximal Extractable Value (MEV) bots reveals that SKANF detects vulnerabilities in 1,028 contracts and successfully generates exploits for 373 of them, with potential losses exceeding \$9.0M. Additionally, we uncover 40 real-world MEV bot attacks that collectively resulted in \$900K in losses.
- Abstract(参考訳): ほとんどのブロックチェーンは、実行中のプログラムのバイナリコード(すなわちスマートコントラクト)を隠すことはできない。
プロプライエタリなビジネスロジックを隠蔽し、潜在的に攻撃を防ぐために、多くのスマートコントラクトはクローズドソースであり、難読化のレイヤを採用している。
しかし、このような難読化は、不確実性を通じて不確実性と呼ぶ現象であるセキュリティを強化するよりも、重大な脆弱性を曖昧にすることができることを実証する。
本研究では,これらのリスクを大規模に体系的に解析するために,クローズドソースおよび難読化コントラクトに適した新しいEVMバイトコード解析ツールであるSKANFを提案する。
SKANFは、コントロールフローの難読化、シンボリック実行、そして過去のトランザクションに基づくコンコリック実行を組み合わせて、資産管理の脆弱性を特定して活用する。
実世界の最大抽出値(MEV)ボットの評価では、SKANFが1,028の契約で脆弱性を検出し、373件のエクスプロイトをうまく生成し、潜在的な損失が9.0Mを超えることが判明した。
さらに、40件の現実世界のMEVボット攻撃が、合計で9億ドルの損失をもたらしました。
関連論文リスト
- A Comprehensive Study of Exploitable Patterns in Smart Contracts: From Vulnerability to Defense [1.1138859624936408]
スマートコントラクト内の脆弱性は、個々のアプリケーションのセキュリティを損なうだけでなく、より広範なブロックチェーンエコシステムに重大なリスクをもたらす。
本稿では,スマートコントラクトの重要なセキュリティリスク,特にSolidityで記述され,仮想マシン上で実行されるセキュリティリスクを包括的に分析する。
攻撃シナリオを複製し、効果的な対策を評価することにより、2つの一般的かつ重要なタイプ(冗長性と整数オーバーフロー)に焦点を当てる。
論文 参考訳(メタデータ) (2025-04-30T10:00:36Z) - Vulnerability anti-patterns in Solidity: Increasing smart contracts security by reducing false alarms [0.0]
我々は、現在の分析の統合と拡張が実現可能なだけでなく、スマートコントラクトセキュリティにおける次の論理的なステップであることを示す。
開発者中心の脆弱性の概念から,Solidityコードの形態と動的性に関する軽量な静的チェックを提案する。
論文 参考訳(メタデータ) (2024-10-22T17:21:28Z) - All Your Tokens are Belong to Us: Demystifying Address Verification Vulnerabilities in Solidity Smart Contracts [24.881450403784786]
検証のプロセスにおける脆弱性は、大きなセキュリティ問題を引き起こす可能性がある。
静的EVMオペコードシミュレーションに基づく軽量なテナントアナライザであるAVVERIFIERの設計と実装を行う。
500万以上のスマートコントラクトを大規模に評価した結果,コミュニティが公表していない812の脆弱性のあるスマートコントラクトを特定しました。
論文 参考訳(メタデータ) (2024-05-31T01:02:07Z) - Uncover the Premeditated Attacks: Detecting Exploitable Reentrancy Vulnerabilities by Identifying Attacker Contracts [27.242299425486273]
スマートコントラクトにおける悪名高い脆弱性であるReentrancyは、数百万ドルの損失をもたらしている。
現在のスマートコントラクトの脆弱性検出ツールは、永続的脆弱性を持つコントラクトを識別する上で、高い偽陽性率に悩まされている。
攻撃者の契約を識別することで、再侵入の脆弱性を検出するツールであるBlockWatchdogを提案する。
論文 参考訳(メタデータ) (2024-03-28T03:07:23Z) - Efficiently Detecting Reentrancy Vulnerabilities in Complex Smart Contracts [35.26195628798847]
既存の脆弱性検出ツールは、複雑なコントラクトにおける脆弱性の効率性や検出成功率の面では不十分である。
SliSEは、複雑なコントラクトに対するReentrancy脆弱性を検出する堅牢で効率的な方法を提供する。
論文 参考訳(メタデータ) (2024-03-17T16:08:30Z) - LookAhead: Preventing DeFi Attacks via Unveiling Adversarial Contracts [15.071155232677643]
分散型金融(DeFi)インシデントは、30億ドルを超える経済的損害をもたらした。
現在の検出ツールは、攻撃活動を効果的に識別する上で重大な課題に直面している。
本稿では,敵対的契約を公開することによって,DeFi攻撃を効果的に検出する新しい枠組みを提案する。
論文 参考訳(メタデータ) (2024-01-14T11:39:33Z) - Vulnerability Scanners for Ethereum Smart Contracts: A Large-Scale Study [44.25093111430751]
2023年だけでも、そのような脆弱性は数十億ドルを超える巨額の損失をもたらした。
スマートコントラクトの脆弱性を検出し、軽減するために、さまざまなツールが開発されている。
本研究では,既存のセキュリティスキャナの有効性と,現在も継続している脆弱性とのギャップについて検討する。
論文 参考訳(メタデータ) (2023-12-27T11:26:26Z) - Empirical Review of Smart Contract and DeFi Security: Vulnerability
Detection and Automated Repair [36.46679501556185]
分散ファイナンス(DeFi)はピアツーピア金融エコシステムとして台頭している。
スマートコントラクトには 膨大な価値があります 攻撃の魅力的なターゲットになります
本稿では,脆弱性検出と自動修復の観点から,スマートコントラクトとDeFiセキュリティの分野における進歩を概観する。
論文 参考訳(メタデータ) (2023-09-05T17:00:42Z) - Combining Graph Neural Networks with Expert Knowledge for Smart Contract
Vulnerability Detection [37.7763374870026]
既存の契約のセキュリティ分析の取り組みは、労働集約的でスケーリング不能な専門家によって定義された厳格なルールに依存している。
本稿では,正規化グラフからグラフ特徴を抽出する新たな時間的メッセージ伝達ネットワークを提案する。
論文 参考訳(メタデータ) (2021-07-24T13:16:30Z) - Smart Contract Vulnerability Detection: From Pure Neural Network to
Interpretable Graph Feature and Expert Pattern Fusion [48.744359070088166]
従来のスマートコントラクトの脆弱性検出方法は、専門家の規則に大きく依存している。
最近のディープラーニングアプローチはこの問題を軽減するが、有用な専門家の知識をエンコードすることができない。
ソースコードから専門家パターンを抽出する自動ツールを開発する。
次に、深いグラフの特徴を抽出するために、コードをセマンティックグラフにキャストします。
論文 参考訳(メタデータ) (2021-06-17T07:12:13Z) - ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep
Neural Network and Transfer Learning [80.85273827468063]
既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。
スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。
ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
論文 参考訳(メタデータ) (2021-03-23T15:04:44Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。