論文の概要: Program Analysis for High-Value Smart Contract Vulnerabilities: Techniques and Insights
- arxiv url: http://arxiv.org/abs/2507.20672v1
- Date: Mon, 28 Jul 2025 09:53:31 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-07-29 16:23:58.070555
- Title: Program Analysis for High-Value Smart Contract Vulnerabilities: Techniques and Insights
- Title(参考訳): 高価値スマートコントラクト脆弱性に対するプログラム分析:技術と洞察
- Authors: Yannis Smaragdakis, Neville Grech, Sifis Lagouvardos, Konstantinos Triantafyllou, Ilias Tsatiris, Yannis Bollanos, Tony Rocco Valentine,
- Abstract要約: 私たちは、高価値なスマートコントラクトの脆弱性を自動的に発見する上で、繰り返し成功に導いたテクニックと洞察を示します。
当社の脆弱性開示は10件のバグ報奨金を得ており、合計で300万ドル以上を突破し、高度にデプロイされたコードに加えて、デプロイ前または監査下コードで検出された数百のバグが報告されている。
- 参考スコア(独自算出の注目度): 0.43975202913406947
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: A widespread belief in the blockchain security community is that automated techniques are only good for detecting shallow bugs, typically of small value. In this paper, we present the techniques and insights that have led us to repeatable success in automatically discovering high-value smart contract vulnerabilities. Our vulnerability disclosures have yielded 10 bug bounties, for a total of over $3M, over high-profile deployed code, as well as hundreds of bugs detected in pre-deployment or under-audit code. We argue that the elements of this surprising success are a) a very high-completeness static analysis approach that manages to maintain acceptable precision; b) domain knowledge, provided by experts or captured via statistical inference. We present novel techniques for automatically inferring domain knowledge from statistical analysis of a large corpus of deployed contracts, as well as discuss insights on the ideal precision and warning rate of a promising vulnerability detector. In contrast to academic literature in program analysis, which routinely expects false-positive rates below 50% for publishable results, we posit that a useful analysis for high-value real-world vulnerabilities will likely flag very few programs (under 1%) and will do so with a high false-positive rate (e.g., 95%, meaning that only one-of-twenty human inspections will yield an exploitable vulnerability).
- Abstract(参考訳): ブロックチェーンのセキュリティコミュニティにおいて広く信じられているのは、自動化技術は、一般的に小さな価値の浅いバグを検出するのにのみ有効である、ということだ。
本稿では,高価値なスマートコントラクトの脆弱性を自動的に発見する上で,私たちが繰り返し成功に導いた技術と洞察について述べる。
当社の脆弱性開示は10件のバグ報奨金を得ており、合計で300万ドル以上を突破し、高度にデプロイされたコードに加えて、デプロイ前または監査下コードで検出された数百のバグが報告されている。
私たちはこの驚くべき成功の要素は何かと主張する。
a) 許容精度を維持するための極めて完全性の高い静的解析手法
b) 専門家によって提供されたドメイン知識又は統計的推測による取得
本稿では,大規模契約契約の統計解析からドメイン知識を自動的に推定する新しい手法を提案するとともに,有望な脆弱性検知器の理想的な精度と警告率について考察する。
公開可能な結果に対して50%未満の偽陽性率を定期的に期待するプログラム分析の学術文献とは対照的に、高価値な現実世界の脆弱性に対する有用な分析は、非常に少ないプログラム(1%以下)にフラグを付ける可能性があり、高い偽陽性率(95%、つまり1対20の人間の検査だけが悪用可能な脆弱性をもたらすと仮定する。
関連論文リスト
- An Empirical Analysis of Vulnerability Detection Tools for Solidity Smart Contracts Using Line Level Manually Annotated Vulnerabilities [5.357551358237259]
本稿では,Solidityスマートコントラクトに特化して設計された自動脆弱性解析ツールの実証評価を行う。
行レベルの脆弱性ラベルを手動でアノテートした2,182インスタンスのアノテートデータセットを用いて評価を行った。
私たちは、最大76.78%の脆弱性を発見できる3つのツールのセットを特定しました。
論文 参考訳(メタデータ) (2025-05-21T17:01:18Z) - MOS: Towards Effective Smart Contract Vulnerability Detection through Mixture-of-Experts Tuning of Large Language Models [16.16186929130931]
スマートコントラクトの脆弱性は、ブロックチェーンシステムに重大なセキュリティリスクをもたらす。
本稿では,大規模言語モデルのミックス・オブ・エキスパート・チューニング(MOE-Tuning)に基づくスマートコントラクト脆弱性検出フレームワークを提案する。
実験の結果、MOSはF1のスコアが6.32%、精度が4.80%の平均的な改善で既存の手法よりも大幅に優れていた。
論文 参考訳(メタデータ) (2025-04-16T16:33:53Z) - Lie Detector: Unified Backdoor Detection via Cross-Examination Framework [68.45399098884364]
半正直な設定で一貫したバックドア検出フレームワークを提案する。
本手法は,SoTAベースラインよりも5.4%,1.6%,11.9%の精度で検出性能が向上する。
特に、マルチモーダルな大規模言語モデルにおいて、バックドアを効果的に検出するのは、これが初めてである。
論文 参考訳(メタデータ) (2025-03-21T06:12:06Z) - VGX: Large-Scale Sample Generation for Boosting Learning-Based Software
Vulnerability Analyses [30.65722096096949]
本稿では,高品質な脆弱性データセットを大規模に生成するための新しい手法であるVGXを提案する。
VGXは、そのような編集のパターンを使用して、特定コンテキストにおける脆弱性注入コード編集を実現する。
現場でのサンプル生産では、VGXは150,392個の脆弱なサンプルを生成し、ランダムに10%を選択して、これらのサンプルが脆弱性の検出、ローカライゼーション、修復にどの程度役立つかを評価しました。
論文 参考訳(メタデータ) (2023-10-24T01:05:00Z) - ASSERT: Automated Safety Scenario Red Teaming for Evaluating the
Robustness of Large Language Models [65.79770974145983]
ASSERT、Automated Safety Scenario Red Teamingは、セマンティックなアグリゲーション、ターゲットブートストラップ、敵の知識注入という3つの方法で構成されている。
このプロンプトを4つの安全領域に分割し、ドメインがモデルの性能にどのように影響するかを詳細に分析する。
統計的に有意な性能差は, 意味的関連シナリオにおける絶対分類精度が最大11%, ゼロショット逆数設定では最大19%の絶対誤差率であることがわかった。
論文 参考訳(メタデータ) (2023-10-14T17:10:28Z) - Large Language Model-Powered Smart Contract Vulnerability Detection: New
Perspectives [8.524720028421447]
本稿では, GPT-4 のような大規模言語モデル (LLM) を利用する機会, 課題, 潜在的な解決策を体系的に分析する。
高いランダム性でより多くの答えを生成することは、正しい答えを生み出す可能性を大幅に押し上げるが、必然的に偽陽性の数が増加する。
本稿では,GPTLens と呼ばれる,従来の一段階検出を2つの相乗的段階に分割し,生成と識別を行う逆方向のフレームワークを提案する。
論文 参考訳(メタデータ) (2023-10-02T12:37:23Z) - Free Lunch for Generating Effective Outlier Supervision [46.37464572099351]
本稿では, ほぼ現実的な外乱監視を実現するための超効率的な手法を提案する。
提案したtextttBayesAug は,従来の方式に比べて偽陽性率を 12.50% 以上削減する。
論文 参考訳(メタデータ) (2023-01-17T01:46:45Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。