論文の概要: The Dark Side of Upgrades: Uncovering Security Risks in Smart Contract Upgrades
- arxiv url: http://arxiv.org/abs/2508.02145v1
- Date: Mon, 04 Aug 2025 07:43:43 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-08-12 13:37:03.722504
- Title: The Dark Side of Upgrades: Uncovering Security Risks in Smart Contract Upgrades
- Title(参考訳): アップグレードのダークサイド:スマートコントラクトアップグレードのセキュリティリスクを明らかにする
- Authors: Dingding Wang, Jianting He, Siwei Wu, Yajin Zhou, Lei Wu, Cong Wang,
- Abstract要約: 83,085のアップグレード契約と20,902のアップグレードチェーンを含むデータセットを構築します。
我々は,37件の現実世界のセキュリティインシデントに基づく不正確な分類を開発する。
我々は、これらのリスクと既存の緩和に対する公衆の意識を調査します。
- 参考スコア(独自算出の注目度): 12.414536548730421
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Smart contract upgrades are increasingly common due to their flexibility in modifying deployed contracts, such as fixing bugs or adding new functionalities. Meanwhile, upgrades compromise the immutability of contracts, introducing significant security concerns. While existing research has explored the security impacts of contract upgrades, these studies are limited in collection of upgrade behaviors and identification of insecurities. To address these limitations, we conduct a comprehensive study on the insecurities of upgrade behaviors. First, we build a dataset containing 83,085 upgraded contracts and 20,902 upgrade chains. To our knowledge, this is the first large-scale dataset about upgrade behaviors, revealing their diversity and exposing gaps in public disclosure. Next, we develop a taxonomy of insecurities based on 37 real-world security incidents, categorizing eight types of upgrade risks and providing the first complete view of upgrade-related insecurities. Finally, we survey public awareness of these risks and existing mitigations. Our findings show that four types of security risks are overlooked by the public and lack mitigation measures. We detect these upgrade risks through a preliminary study, identifying 31,407 related issues - a finding that raises significant concerns.
- Abstract(参考訳): スマートコントラクトのアップグレードは、バグの修正や新機能の追加など、デプロイされたコントラクトの変更の柔軟性によって、ますます一般的になっています。
一方、アップグレードは契約の不変性を損なうため、重大なセキュリティ上の懸念が生じる。
既存の研究は、契約アップグレードのセキュリティへの影響を調査してきたが、これらの研究はアップグレード行動の収集と不正の特定に限られている。
これらの制約に対処するため、我々はアップグレード行動の不正確性について包括的に研究する。
まず、83,085のアップグレード契約と20,902のアップグレードチェーンを含むデータセットを構築します。
私たちの知る限り、これはアップグレード行動に関する最初の大規模なデータセットであり、その多様性を明らかにし、公開公開のギャップを露呈する。
次に,37件の現実世界のセキュリティインシデントに基づくインシデントを分類し,8種類のアップグレードリスクを分類し,アップグレード関連インシデントに関する最初の完全なビューを提供する。
最後に、これらのリスクと既存の緩和に対する公衆の意識について調査する。
以上の結果から,4種類のセキュリティリスクが公衆に見落とされ,緩和策が欠如していることが示唆された。
我々は、これらのアップグレードリスクを予備的な調査によって検出し、31,407の関連する問題を特定します。
関連論文リスト
- Large AI Model-Enabled Secure Communications in Low-Altitude Wireless Networks: Concepts, Perspectives and Case Study [92.15255222408636]
低高度無線ネットワーク(LAWN)は、様々なアプリケーションをサポートすることにより、通信に革命をもたらす可能性がある。
LAWNにおけるセキュア通信のための大規模人工知能モデル(LAM)対応ソリューションについて検討する。
LAWNにおけるセキュア通信のためのLAMの実用的メリットを示すために,新しいLAMベースの最適化フレームワークを提案する。
論文 参考訳(メタデータ) (2025-08-01T01:53:58Z) - SafeKey: Amplifying Aha-Moment Insights for Safety Reasoning [76.56522719330911]
大規模推論モデル(LRM)は、応答する前に明示的に推論する新しい世代パラダイムを導入する。
LRMは有害なクエリや敵の攻撃に対して大きな安全リスクをもたらす。
キー文中の安全アハモーメントをより活性化するSafeKeyを提案する。
論文 参考訳(メタデータ) (2025-05-22T03:46:03Z) - Mining Characteristics of Vulnerable Smart Contracts Across Lifecycle Stages [0.8225825738565354]
本稿では,スマートコントラクトのライフサイクルを通じてのセキュリティに関する実証的研究について述べる。
各段階でセキュリティ問題を調べ、少なくとも7つの機能説明を提供する。
5つの機械学習分類モデルを使用して、異なるステージにおける脆弱性を特定する。
論文 参考訳(メタデータ) (2025-04-21T12:42:59Z) - Towards Trustworthy GUI Agents: A Survey [64.6445117343499]
本調査では,GUIエージェントの信頼性を5つの重要な次元で検証する。
敵攻撃に対する脆弱性、シーケンシャルな意思決定における障害モードのカスケードなど、大きな課題を特定します。
GUIエージェントが普及するにつれて、堅牢な安全基準と責任ある開発プラクティスを確立することが不可欠である。
論文 参考訳(メタデータ) (2025-03-30T13:26:00Z) - ContractTrace: Retracing Smart Contract Versions for Security Analyses [4.126275271359132]
ContractTraceは、スマートコントラクトのバージョンを正確に識別し、コヒーレントなラインにリンクする自動化インフラストラクチャです。
この機能は、脆弱性の伝播パターンを理解し、ブロックチェーン環境におけるセキュリティパッチの有効性を評価するために不可欠である。
論文 参考訳(メタデータ) (2024-12-30T11:10:22Z) - Agent-SafetyBench: Evaluating the Safety of LLM Agents [72.92604341646691]
我々は,大規模言語モデル(LLM)の安全性を評価するベンチマークであるAgent-SafetyBenchを紹介する。
Agent-SafetyBenchは349のインタラクション環境と2,000のテストケースを含み、安全リスクの8つのカテゴリを評価し、安全でないインタラクションで頻繁に発生する10の一般的な障害モードをカバーする。
16 名の LLM エージェントを評価した結果,いずれのエージェントも 60% 以上の安全性スコアを達成できないことがわかった。
論文 参考訳(メタデータ) (2024-12-19T02:35:15Z) - ACRIC: Securing Legacy Communication Networks via Authenticated Cyclic Redundancy Integrity Check [98.34702864029796]
安全クリティカルな業界における最近のセキュリティインシデントは、適切なメッセージ認証の欠如により、攻撃者が悪意のあるコマンドを注入したり、システムの振る舞いを変更することができることを明らかにした。
これらの欠点は、サイバーセキュリティを強化するために圧力をかける必要性を強調する新しい規制を引き起こしている。
我々は,レガシ産業通信をセキュアにするためのメッセージ認証ソリューションであるACRICを紹介する。
論文 参考訳(メタデータ) (2024-11-21T18:26:05Z) - New Emerged Security and Privacy of Pre-trained Model: a Survey and Outlook [54.24701201956833]
セキュリティとプライバシーの問題は、事前訓練されたモデルに対するユーザーの信頼を損なう。
現在の文献は、事前訓練されたモデルに対する攻撃と防御の明確な分類を欠いている。
この分類法は、攻撃と防御をNo-Change、Input-Change、Model-Changeアプローチに分類する。
論文 参考訳(メタデータ) (2024-11-12T10:15:33Z) - Immutable in Principle, Upgradeable by Design: Exploratory Study of Smart Contract Upgradeability [0.717789756063617]
本研究は、アップグレード可能なコントラクトを特定し、そのアップグレード履歴を調べて、変更に関連するトレンド、好み、課題を明らかにする。
4400万以上の契約を分析した結果、アップグレード可能な特性を持つのはわずか3%、アップグレード中のアップグレードは0.34%に過ぎなかった。
アップグレードとユーザアクティビティの関係は複雑で、進化を超えてスマートコントラクトの使用に大きな影響を与えることが示唆されている。
論文 参考訳(メタデータ) (2024-07-01T17:35:37Z) - Demystifying the Characteristics for Smart Contract Upgrades [16.242723608028573]
我々は,契約更新の特徴を理解するために,プロキシベースのアップグレード可能なスマートコントラクトに関する実証的研究を行う。
583のコントラクトが、933のユニークなコントラクトバージョンを含む機能にアップグレードされたことが分かりました。
結果は、276のプロキシのアップグレードによる4,334のABIの破壊的変更が示されており、ブロックチェーンが目撃した584トランザクション内で実際の使用が壊れていることを示している。
論文 参考訳(メタデータ) (2024-06-09T10:09:49Z) - To Healthier Ethereum: A Comprehensive and Iterative Smart Contract
Weakness Enumeration [25.022358832096263]
本稿では,2023年までの包括的で実用的な脆弱性リストであるSmart Contract Weaknession (SWE)を紹介する。
SWEはスマートコントラクトの脆弱性の体系的かつ包括的なリストを提供しており、ここ数年で既存の脆弱性と出現する脆弱性をカバーしている。
定期的な更新には、将来のトップペーパーから新たな脆弱性が含まれているが、不規則な更新では、個人がレビューやSWEへの潜在的な追加のために、新たな脆弱性を報告できる。
論文 参考訳(メタデータ) (2023-08-20T10:46:39Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。