論文の概要: Understanding Inconsistent State Update Vulnerabilities in Smart Contracts
- arxiv url: http://arxiv.org/abs/2508.06192v1
- Date: Fri, 08 Aug 2025 10:15:29 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-08-11 20:39:06.191622
- Title: Understanding Inconsistent State Update Vulnerabilities in Smart Contracts
- Title(参考訳): スマートコントラクトにおける一貫性のない状態更新脆弱性の理解
- Authors: Lantian Li, Yuyu Chen, Jingwen Wu, Yue Pan, Zhongxing Yu,
- Abstract要約: 不整合状態更新問題は、非同期的な修正などの理由で発生する可能性がある。
本稿では,不整合状態更新脆弱性に関する大規模な実証的研究を行う。
実世界のスマートコントラクトプロジェクト352において、116の一貫性のない状態更新脆弱性を調査した。
- 参考スコア(独自算出の注目度): 10.224761284656992
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Smart contracts enable contract terms to be automatically executed and verified on the blockchain, and recent years have witnessed numerous applications of them in areas such as financial institutions and supply chains. The execution logic of a smart contract is closely related to the contract state, and thus the correct and safe execution of the contract depends heavily on the precise control and update of the contract state. However, the contract state update process can have issues. In particular, inconsistent state update issues can arise for reasons such as unsynchronized modifications. Inconsistent state update bugs have been exploited by attackers many times, but existing detection tools still have difficulty in effectively identifying them. This paper conducts the first large-scale empirical study about inconsistent state update vulnerabilities (that is, inconsistent state update bugs that are exploitable) in smart contracts, aiming to shed light for developers, researchers, tool builders, and language or library designers in order to avoid inconsistent state update vulnerabilities. We systematically investigate 116 inconsistent state update vulnerabilities in 352 real-world smart contract projects, summarizing their root causes, fix strategies, and exploitation methods. Our study provides 11 original and important findings, and we also give the implications of our findings. To illustrate the potential benefits of our research, we also develop a proof-of-concept checker based on one of our findings. The checker effectively detects issues in 64 popular GitHub projects, and 19 project owners have confirmed the detected issues at the time of writing. The result demonstrates the usefulness and importance of our findings for avoiding inconsistent state update vulnerabilities in smart contracts.
- Abstract(参考訳): スマートコントラクトにより、ブロックチェーン上で契約条件を自動的に実行し、検証することが可能になります。
スマートコントラクトの実行ロジックはコントラクト状態と密接に関連しているため、コントラクトの正確かつ安全な実行は、コントラクト状態の正確な制御と更新に大きく依存する。
しかし、契約状態の更新プロセスには問題がある可能性がある。
特に、同期しない修正のような理由で、一貫性のない状態更新問題が発生する可能性がある。
一貫性のない状態更新バグは、攻撃者によって何度も悪用されてきたが、既存の検出ツールでは、それらを効果的に識別するのは難しい。
本稿では、スマートコントラクトにおける不整合状態更新脆弱性(すなわち、悪用可能な不整合状態更新バグ)に関する大規模な実証的研究を行い、不整合状態更新脆弱性を回避するために、開発者、研究者、ツールビルダー、言語またはライブラリ設計者に光を当てることを目的とする。
実世界のスマートコントラクトプロジェクト352において、116の一貫性のない状態更新脆弱性を体系的に調査し、その根本原因、修正戦略、エクスプロイト方法について要約する。
本研究は,11のオリジナルおよび重要な所見を提示し,また,本研究の意義も明らかにした。
また,本研究の潜在的メリットを説明するために,本研究の1つに基づく概念実証チェッカーを開発した。
チェッカーは、64の人気のあるGitHubプロジェクトの問題を効果的に検出し、19のプロジェクトオーナーが、書き込み時に検出された問題を確認した。
その結果,スマートコントラクトにおける不整合状態更新の脆弱性を回避する上で,我々の発見の有用性と重要性が示された。
関連論文リスト
- SolBench: A Dataset and Benchmark for Evaluating Functional Correctness in Solidity Code Completion and Repair [51.0686873716938]
コード補完モデルによって生成されたSolidityスマートコントラクトの機能的正しさを評価するベンチマークであるSolBenchを紹介する。
本稿では,スマートコントラクトの機能的正当性を検証するための検索拡張コード修復フレームワークを提案する。
その結果、コード修復と検索技術は、計算コストを削減しつつ、スマートコントラクト完了の正しさを効果的に向上することを示した。
論文 参考訳(メタデータ) (2025-03-03T01:55:20Z) - SmartInv: Multimodal Learning for Smart Contract Invariant Inference [10.468390413756863]
We present SmartInv, a accurate and fast smart contract invariant inference framework。
私たちの重要な洞察は、スマートコントラクトの期待される振る舞いは、マルチモーダル情報に対する理解と推論に依存している、ということです。
SmartInvを実世界の契約で評価し、数百万ドルの損失をもたらしたバグを再発見しました。
論文 参考訳(メタデータ) (2024-11-14T06:28:57Z) - Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。
35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。
ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
論文 参考訳(メタデータ) (2024-11-12T01:55:51Z) - Versioned Analysis of Software Quality Indicators and Self-admitted Technical Debt in Ethereum Smart Contracts with Ethstractor [2.052808596154225]
本稿では、バージョン管理されたスマートコントラクトのデータセットを収集する最初のスマートコントラクト収集ツールであるEthstractorを提案する。
収集されたデータセットは、スマートコントラクトの脆弱性の指標として、コードメトリクスの信頼性を評価するために使用される。
論文 参考訳(メタデータ) (2024-07-22T18:27:29Z) - StateGuard: Detecting State Derailment Defects in Decentralized Exchange Smart Contract [4.891180928768215]
我々は,DEXの脱線欠陥に関する最初の系統的研究を行った。
これらの欠陥は、契約実行中のシステム状態の不正、不完全、あるいは不正な変更につながる可能性がある。
我々は,DeXスマートコントラクトにおける状態脱線欠陥を検出するためのディープラーニングベースのフレームワークであるStateGuardを提案する。
論文 参考訳(メタデータ) (2024-05-15T08:40:29Z) - CONTRACTFIX: A Framework for Automatically Fixing Vulnerabilities in
Smart Contracts [12.68736241704817]
ContractFixは、脆弱なスマートコントラクトのためのセキュリティパッチを自動的に生成するフレームワークである。
ユーザーは、自動的にパッチを適用し、パッチされたコントラクトを検証するセキュリティ修正ツールとして使用することができる。
論文 参考訳(メタデータ) (2023-07-18T01:14:31Z) - Formally Verifying a Real World Smart Contract [52.30656867727018]
われわれは、Solidityの最新バージョンで書かれた現実世界のスマートコントラクトを正式に検証できるツールを検索する。
本稿では,最近のSolidityで書かれた実世界のスマートコントラクトを正式に検証できるツールについて紹介する。
論文 参考訳(メタデータ) (2023-07-05T14:30:21Z) - An Empirical Study on Real Bug Fixes from Solidity Smart Contract
Projects [37.39791127265096]
46の現実的Solidityスマートコントラクトプロジェクトから,歴史的バグフィックスに関する実証的研究を行った。
この過程で4つの知見を抽出し,これらの4つの疑問を探求する。
私たちは、Solidityスマートコントラクトのバグ修正に対する現在のアプローチを改善するために、実行可能な意味を提供します。
論文 参考訳(メタデータ) (2022-10-21T14:26:53Z) - ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep
Neural Network and Transfer Learning [80.85273827468063]
既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。
スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。
ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
論文 参考訳(メタデータ) (2021-03-23T15:04:44Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。