論文の概要: Automated Vulnerability Injection in Solidity Smart Contracts: A Mutation-Based Approach for Benchmark Development

• arxiv url: http://arxiv.org/abs/2504.15948v1
• Date: Tue, 22 Apr 2025 14:46:18 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-04-30 17:55:24.381122
• Title: Automated Vulnerability Injection in Solidity Smart Contracts: A Mutation-Based Approach for Benchmark Development
• Title（参考訳）: ソリデーティスマートコントラクトにおける自動脆弱性注入: ベンチマーク開発のための変異ベースのアプローチ
• Authors: Gerardo Iuliano, Luigi Allocca, Matteo Cicalese, Dario Di Nucci,
• Abstract要約: この研究は、突然変異シードが脆弱性をSolidityベースのスマートコントラクトに効果的に注入できるかどうかを評価する。 パターンベースの突然変異演算子を利用して、脆弱なスマートコントラクトを生成するツールであるMuSeを提案する。 静的解析ツールであるSlitherを用いて、これらの脆弱なスマートコントラクトを分析し、それらを特定し、妥当性を評価する能力について検討した。
• 参考スコア（独自算出の注目度）: 2.0074256613821033
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: The security of smart contracts is critical in blockchain systems, where even minor vulnerabilities can lead to substantial financial losses. Researchers proposed several vulnerability detection tools evaluated using existing benchmarks. However, most benchmarks are outdated and focus on a narrow set of vulnerabilities. This work evaluates whether mutation seeding can effectively inject vulnerabilities into Solidity-based smart contracts and whether state-of-the-art static analysis tools can detect the injected flaws. We aim to automatically inject vulnerabilities into smart contracts to generate large and wide benchmarks. We propose MuSe, a tool to generate vulnerable smart contracts by leveraging pattern-based mutation operators to inject six vulnerability types into real-world smart contracts. We analyzed these vulnerable smart contracts using Slither, a static analysis tool, to determine its capacity to identify them and assess their validity. The results show that each vulnerability has a different injection rate. Not all smart contracts can exhibit some vulnerabilities because they lack the prerequisites for injection. Furthermore, static analysis tools fail to detect all vulnerabilities injected using pattern-based mutations, underscoring the need for enhancements in static analyzers and demonstrating that benchmarks generated by mutation seeding tools can improve the evaluation of detection tools.
• Abstract（参考訳）: ブロックチェーンシステムでは、スマートコントラクトのセキュリティが重要であり、マイナーな脆弱性でさえ大きな損失をもたらす可能性がある。 研究者は、既存のベンチマークを用いて評価されたいくつかの脆弱性検出ツールを提案した。 しかし、ほとんどのベンチマークは時代遅れで、小さな脆弱性に重点を置いている。 この研究は、突然変異シードが脆弱性をSolidityベースのスマートコントラクトに効果的に注入できるかどうか、そして最先端の静的解析ツールが注入された欠陥を検出することができるかどうかを評価する。 スマートコントラクトに脆弱性を自動的に注入して,大規模で広範なベンチマークを生成することを目指しています。 パターンベースの突然変異演算子を利用して6種類の脆弱性を現実世界のスマートコントラクトに注入することで、脆弱なスマートコントラクトを生成するツールであるMuSeを提案する。 静的解析ツールであるSlitherを用いて、これらの脆弱なスマートコントラクトを分析し、それらを特定し、妥当性を評価する能力について検討した。 その結果、各脆弱性は注入率が異なることがわかった。 すべてのスマートコントラクトは、インジェクションの前提条件が欠如しているため、いくつかの脆弱性を示すことができるわけではない。 さらに、静的解析ツールは、パターンベースの突然変異を使用して注入されたすべての脆弱性の検出に失敗し、静的アナライザの拡張の必要性を強調し、突然変異シードツールによって生成されたベンチマークが検出ツールの評価を改善することを実証している。

関連論文リスト

• EthCluster: An Unsupervised Static Analysis Method for Ethereum Smart Contract [1.1923665587866032]
  スマートコントラクトのSolidityソースコードの脆弱性を特定するために、教師なし学習を使用してモデルをトレーニングする。 実世界のスマートコントラクトに関連する課題に対処するため、トレーニングデータは実際の脆弱性サンプルから導出します。
  論文  参考訳（メタデータ） (2025-04-14T08:36:21Z)
• Are You Getting What You Pay For? Auditing Model Substitution in LLM APIs [60.881609323604685]
  ブラックボックスAPIを通じてアクセスされるLarge Language Models (LLM)は、信頼の課題をもたらす。 ユーザーは、宣伝されたモデル機能に基づいたサービスの料金を支払う。 プロバイダは、運用コストを削減するために、特定のモデルを安価で低品質の代替品に隠蔽的に置き換えることができる。 この透明性の欠如は、公正性を損なうとともに、信頼を損なうとともに、信頼性の高いベンチマークを複雑にする。
  論文  参考訳（メタデータ） (2025-04-07T03:57:41Z)
• Impact of Code Transformation on Detection of Smart Contract Vulnerabilities [0.0]
  本稿では,スマートコントラクト脆弱性データセットの量と品質を改善する方法を提案する。 このアプローチは、セマンティックな意味を変えることなくソースコード構造を変更するテクニックである、セマンティックな保存コード変換を中心に展開されている。 改善された結果によると、新たに生成された脆弱性の多くはツールをバイパスでき、偽報告率は最大100%になる。
  論文  参考訳（メタデータ） (2024-10-29T03:08:25Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• Vulnerability Detection in Ethereum Smart Contracts via Machine Learning: A Qualitative Analysis [0.0]
  スマートコントラクトに対する機械学習の脆弱性検出における技術の現状を分析する。 スマートコントラクトにおける脆弱性検出の精度,スコープ,効率を高めるためのベストプラクティスについて議論する。
  論文  参考訳（メタデータ） (2024-07-26T10:09:44Z)
• Static Application Security Testing (SAST) Tools for Smart Contracts: How Far Are We? [14.974832502863526]
  近年,スマートコントラクトセキュリティの重要性が高まっている。 この問題に対処するため、スマートコントラクトの脆弱性を検出するために、多数の静的アプリケーションセキュリティテスト(SAST)ツールが提案されている。 本稿では,スマートコントラクトに対する45種類の脆弱性を含む,最新のきめ細かな分類法を提案する。
  論文  参考訳（メタデータ） (2024-04-28T13:40:18Z)
• Vulnerability Scanners for Ethereum Smart Contracts: A Large-Scale Study [44.25093111430751]
  2023年だけでも、そのような脆弱性は数十億ドルを超える巨額の損失をもたらした。 スマートコントラクトの脆弱性を検出し、軽減するために、さまざまなツールが開発されている。 本研究では,既存のセキュリティスキャナの有効性と,現在も継続している脆弱性とのギャップについて検討する。
  論文  参考訳（メタデータ） (2023-12-27T11:26:26Z)
• ASSERT: Automated Safety Scenario Red Teaming for Evaluating the Robustness of Large Language Models [65.79770974145983]
  ASSERT、Automated Safety Scenario Red Teamingは、セマンティックなアグリゲーション、ターゲットブートストラップ、敵の知識注入という3つの方法で構成されている。 このプロンプトを4つの安全領域に分割し、ドメインがモデルの性能にどのように影響するかを詳細に分析する。 統計的に有意な性能差は, 意味的関連シナリオにおける絶対分類精度が最大11%, ゼロショット逆数設定では最大19%の絶対誤差率であることがわかった。
  論文  参考訳（メタデータ） (2023-10-14T17:10:28Z)
• CONTRACTFIX: A Framework for Automatically Fixing Vulnerabilities in Smart Contracts [12.68736241704817]
  ContractFixは、脆弱なスマートコントラクトのためのセキュリティパッチを自動的に生成するフレームワークである。 ユーザーは、自動的にパッチを適用し、パッチされたコントラクトを検証するセキュリティ修正ツールとして使用することができる。
  論文  参考訳（メタデータ） (2023-07-18T01:14:31Z)
• Enhancing Smart Contract Security Analysis with Execution Property Graphs [48.31617821205042]
  ランタイム仮想マシン用に特別に設計された動的解析フレームワークであるClueを紹介する。 Clueは契約実行中に重要な情報をキャプチャし、新しいグラフベースの表現であるExecution Property Graphを使用する。 評価結果から, クリューの真正率, 偽正率の低い優れた性能が, 最先端のツールよりも優れていた。
  論文  参考訳（メタデータ） (2023-05-23T13:16:42Z)
• Exploring Robustness of Unsupervised Domain Adaptation in Semantic Segmentation [74.05906222376608]
  クリーンな画像とそれらの逆の例との一致を、出力空間における対照的な損失によって最大化する、逆向きの自己スーパービジョンUDA(ASSUDA)を提案する。 i) セマンティックセグメンテーションにおけるUDA手法のロバスト性は未解明のままであり, (ii) 一般的に自己スーパービジョン(回転やジグソーなど) は分類や認識などのイメージタスクに有効であるが, セグメンテーションタスクの識別的表現を学習する重要な監視信号の提供には失敗している。
  論文  参考訳（メタデータ） (2021-05-23T01:50:44Z)
• ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep Neural Network and Transfer Learning [80.85273827468063]
  既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。 スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。 ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
  論文  参考訳（メタデータ） (2021-03-23T15:04:44Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。