論文の概要: SoK: Root Cause of \$1 Billion Loss in Smart Contract Real-World Attacks via a Systematic Literature Review of Vulnerabilities

• arxiv url: http://arxiv.org/abs/2507.20175v1
• Date: Sun, 27 Jul 2025 08:33:56 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-07-29 16:23:57.168412
• Title: SoK: Root Cause of \$1 Billion Loss in Smart Contract Real-World Attacks via a Systematic Literature Review of Vulnerabilities
• Title（参考訳）: SoK: 脆弱性の体系的な文献レビューを通じて、スマートコントラクトのリアルワールド攻撃で10億ドルの損失を招いた
• Authors: Hadis Rezaei, Mojtaba Eshghie, Karl Anderesson, Francesco Palmieri,
• Abstract要約: 我々は、スマートコントラクトの脆弱性と、現実世界のハイインパクトな財務損失の根本原因を理解することに重点を置いています。 2022年から2025年の間に、最も厳しい現実世界の悪用のうち50件について、詳細な実証分析を行いました。 実世界で成功した攻撃は、プロトコルロジック設計、(2)ガバナンス、(3)外部依存関係、(4)従来の実装バグの4つのティアのうちの1つに遡る。
• 参考スコア（独自算出の注目度）: 7.465794956625665
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: The Ethereum ecosystem, despite its maturity, continues to witness catastrophic attacks, with billions of dollars in assets lost annually. In response, a significant body of research has focused on identifying and mitigating smart contract vulnerabilities. However, these efforts predominantly focus on implementation-level bugs, leaving a critical gap between academic understanding of vulnerabilities and the root causes of real-world high-impact financial losses. We employ a two-pronged methodology: first, a systematic literature review of 71 academic papers to build a comprehensive and up-to-date catalog of 24 active and 5 deprecated vulnerabilities as understood by the research community. Second, we conduct an in-depth, empirical analysis of 50 of the most severe real-world exploits between 2022 and 2025, collectively incurring over \$1.09B in losses, to identify their true root causes. We introduce the concept of "exploit chains" by revealing that many incidents are not caused by isolated vulnerabilities but by combinations of human, operational, and economic design flaws that link with implementation bugs to enable an attack. Our analysis yields insights on how DApps are exploited in practice, leading to a novel, four-tier root-cause framework that moves beyond code-level vulnerabilities. We find that real-world successful attacks on Ethereum (and related networks) trace back to one of the four tiers of (1) protocol logic design, (2) lifecycle and governance, (3) external dependencies, and (4) traditional implementation bugs (classic smart contract vulnerabilities). We investigate the suitability of this multi-tier incident root-cause framework via a case study.
• Abstract（参考訳）: Ethereumのエコシステムは成熟しているにもかかわらず、毎年何十億ドルもの資産が失われ、破滅的な攻撃を目の当たりにしている。 これに反応して、スマートコントラクトの脆弱性を特定し緩和することに焦点を当てた、重要な研究機関が登場した。 しかしながら、これらの取り組みは、主に実装レベルのバグに焦点を当てており、脆弱性の学術的理解と、現実世界のハイインパクトな財務損失の根本原因との間に重要なギャップを残している。 まず、71の学術論文を体系的にレビューし、研究コミュニティが理解した24のアクティブおよび5の非推奨脆弱性の包括的かつ最新のカタログを構築する。 第2に、2022年から2025年の間、最も深刻な実世界の悪用のうち50件を詳細に実証分析し、その根本原因を特定するために、総計で1.09億ドル以上の損失を被った。 我々は、多くのインシデントは、孤立した脆弱性ではなく、人間、運用、経済設計の欠陥の組み合わせによって引き起こされるものであり、攻撃を可能にするために実装バグと結びついていることを明らかにすることによって、"エクスロイト・チェーン"の概念を紹介した。 我々の分析は、DAppsが実際にどのように悪用されているかについての洞察を与え、コードレベルの脆弱性を超えて、新しい4段階の根本原因フレームワークを生み出します。 1)プロトコルロジック設計,(2)ライフサイクルとガバナンス,(3)外部依存性,(4)従来の実装バグ(古典的なスマートコントラクトの脆弱性)の4つの階層の1つに遡るEthereum(と関連するネットワーク)に対する実際の攻撃が成功したことが分かりました。 本稿では,この多層インシデント根因フレームワークの適合性について,ケーススタディを用いて検討する。

関連論文リスト

• Decompiling Smart Contracts with a Large Language Model [51.49197239479266]
  Etherscanの78,047,845のスマートコントラクトがデプロイされているにも関わらず(2025年5月26日現在)、わずか767,520 (1%)がオープンソースである。 この不透明さは、オンチェーンスマートコントラクトバイトコードの自動意味解析を必要とする。 バイトコードを可読でセマンティックに忠実なSolidityコードに変換する,先駆的な逆コンパイルパイプラインを導入する。
  論文  参考訳（メタデータ） (2025-06-24T13:42:59Z)
• CyberGym: Evaluating AI Agents' Cybersecurity Capabilities with Real-World Vulnerabilities at Scale [46.76144797837242]
  大規模言語モデル(LLM)エージェントは、自律的なサイバーセキュリティタスクの処理において、ますます熟練している。 既存のベンチマークは不足していて、現実のシナリオをキャプチャできなかったり、スコープが限られていたりします。 我々はCyberGymを紹介した。CyberGymは1,507の現実世界の脆弱性を特徴とする大規模かつ高品質なサイバーセキュリティ評価フレームワークである。
  論文  参考訳（メタデータ） (2025-06-03T07:35:14Z)
• Cannot See the Forest for the Trees: Invoking Heuristics and Biases to Elicit Irrational Choices of LLMs [83.11815479874447]
  本研究では,人間の認知における認知的分解と偏見に触発された新しいジェイルブレイク攻撃フレームワークを提案する。 我々は、悪意のあるプロンプトの複雑さと関連バイアスを減らし、認知的分解を用いて、プロンプトを再編成する。 また、従来の二分的成功または失敗のパラダイムを超越したランキングベースの有害度評価指標も導入する。
  論文  参考訳（メタデータ） (2025-05-03T05:28:11Z)
• Security Vulnerabilities in Ethereum Smart Contracts: A Systematic Analysis [7.858744413354451]
  本稿では、Etherスマートコントラクトに焦点を当て、Etherの主なコンポーネントであるスマートコントラクトアーキテクチャとメカニズムを説明します。 American Chain, The, Parity, KotETの4つのセキュリティイベントによると、整数オーバーフロー攻撃、再帰攻撃、アクセス制御攻撃、サービスアタックの否定の原則を研究し、分析した。 予防措置がとられています
  論文  参考訳（メタデータ） (2025-04-08T12:25:34Z)
• Smart Contract Fuzzing Towards Profitable Vulnerabilities [10.908512696717724]
  VERITEは利益中心のスマートコントラクトファジィフレームワークである。 悪質な脆弱性を検出し、悪用された利益を最大化する。 合計で1800万ドル以上を抽出でき、検出と悪用の両方で最先端のファズーであるITYFUZZよりはるかに優れている。
  論文  参考訳（メタデータ） (2025-01-15T14:38:18Z)
• Soley: Identification and Automated Detection of Logic Vulnerabilities in Ethereum Smart Contracts Using Large Language Models [1.081463830315253]
  GitHubのコード変更から抽出された実世界のスマートコントラクトのロジック脆弱性を実証的に調査する。 本稿では,スマートコントラクトにおける論理的脆弱性の自動検出手法であるSoleyを紹介する。 スマートコントラクト開発者が実際のシナリオでこれらの脆弱性に対処するために使用する緩和戦略について検討する。
  論文  参考訳（メタデータ） (2024-06-24T00:15:18Z)
• Vulnerability Scanners for Ethereum Smart Contracts: A Large-Scale Study [44.25093111430751]
  2023年だけでも、そのような脆弱性は数十億ドルを超える巨額の損失をもたらした。 スマートコントラクトの脆弱性を検出し、軽減するために、さまざまなツールが開発されている。 本研究では,既存のセキュリティスキャナの有効性と,現在も継続している脆弱性とのギャップについて検討する。
  論文  参考訳（メタデータ） (2023-12-27T11:26:26Z)
• Poisoning Retrieval Corpora by Injecting Adversarial Passages [79.14287273842878]
  本稿では,悪意のあるユーザが少数の逆行を発生させるような,高密度検索システムに対する新たな攻撃を提案する。 これらの逆行路を大規模な検索コーパスに挿入すると、この攻撃はこれらのシステムを騙すのに非常に効果的であることを示す。 また、教師なしと教師なしの両方の最先端の高密度レトリバーをベンチマークし、比較する。
  論文  参考訳（メタデータ） (2023-10-29T21:13:31Z)
• Smart Contract and DeFi Security Tools: Do They Meet the Needs of Practitioners? [10.771021805354911]
  スマートコントラクトを狙った攻撃は増加しており、推定645億ドルの損失を生んでいる。 私たちは、目立った攻撃につながる可能性のある脆弱性を特定するために、自動セキュリティツールの有効性に光を当てることを目指しています。 このツールは、われわれのデータセットにおける攻撃のわずか8%を防げた可能性があり、23億ドルの損失のうち1億4900万ドルに相当する。
  論文  参考訳（メタデータ） (2023-04-06T10:27:19Z)
• ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep Neural Network and Transfer Learning [80.85273827468063]
  既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。 スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。 ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
  論文  参考訳（メタデータ） (2021-03-23T15:04:44Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。