論文の概要: Trace: Securing Smart Contract Repository Against Access Control Vulnerability

• arxiv url: http://arxiv.org/abs/2510.19254v1
• Date: Wed, 22 Oct 2025 05:18:28 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-10-25 03:08:15.136532
• Title: Trace: Securing Smart Contract Repository Against Access Control Vulnerability
• Title（参考訳）: Trace: アクセス制御脆弱性に対するスマートコントラクトリポジトリのセキュア化
• Authors: Chong Chen, Jiachi Chen, Lingfeng Bao, David Lo, Yanlin Wang, Zhenyu Shan, Ting Chen, Guangqiang Yin, Jianxing Yu, Zibin Zheng,
• Abstract要約: GitHubはソースコード、ドキュメント、設定ファイルを含む多数のスマートコントラクトリポジトリをホストしている。 サードパーティの開発者は、カスタム開発中にこれらのリポジトリからコードを参照、再利用、フォークすることが多い。 スマートコントラクトの脆弱性を検出する既存のツールは、複雑なリポジトリを扱う能力に制限されている。
• 参考スコア（独自算出の注目度）: 58.02691083789239
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Smart contract vulnerabilities, particularly improper Access Control that allows unauthorized execution of restricted functions, have caused billions of dollars in losses. GitHub hosts numerous smart contract repositories containing source code, documentation, and configuration files-these serve as intermediate development artifacts that must be compiled and packaged before deployment. Third-party developers often reference, reuse, or fork code from these repositories during custom development. However, if the referenced code contains vulnerabilities, it can introduce significant security risks. Existing tools for detecting smart contract vulnerabilities are limited in their ability to handle complex repositories, as they typically require the target contract to be compilable to generate an abstract representation for further analysis. This paper presents TRACE, a tool designed to secure non-compilable smart contract repositories against access control vulnerabilities. TRACE employs LLMs to locate sensitive functions involving critical operations (e.g., transfer) within the contract and subsequently completes function snippets into a fully compilable contract. TRACE constructs a function call graph from the abstract syntax tree (AST) of the completed contract. It uses the control flow graph (CFG) of each function as node information. The nodes of the sensitive functions are then analyzed to detect Access Control vulnerabilities. Experimental results demonstrate that TRACE outperforms state-of-the-art tools on an open-sourced CVE dataset, detecting 14 out of 15 CVEs. In addition, it achieves 89.2% precision on 5,000 recent on-chain contracts, far exceeding the best existing tool at 76.9%. On 83 real-world repositories, TRACE achieves 87.0% precision, significantly surpassing DeepSeek-R1's 14.3%.
• Abstract（参考訳）: スマートコントラクトの脆弱性、特に制限された関数の不正な実行を可能にする不適切なアクセス制御は、数十億ドルの損失を引き起こしている。 GitHubはソースコード、ドキュメント、設定ファイルを含む多数のスマートコントラクトリポジトリをホストしている。 サードパーティの開発者は、カスタム開発中にこれらのリポジトリからコードを参照、再利用、フォークすることが多い。 しかし、参照されたコードに脆弱性がある場合、重大なセキュリティリスクが発生する可能性がある。 スマートコントラクトの脆弱性を検出する既存のツールは、複雑なリポジトリを扱う能力に制限がある。 本稿では,非コンパイル可能なスマートコントラクトリポジトリをアクセス制御脆弱性に対してセキュアにするためのツールであるTRACEを提案する。 TRACE は LLM を使用して、契約内の重要な操作(例えば転送)に関わる機密機能を検知し、その後完全にコンパイル可能なコントラクトに関数スニペットを完了させる。 TRACEは、完了したコントラクトの抽象構文木(AST)から関数呼び出しグラフを構築する。 各関数の制御フローグラフ(CFG)をノード情報として使用する。 センシティブな関数のノードは分析され、アクセス制御の脆弱性を検出する。 実験の結果、TRACEはオープンソースのCVEデータセット上で最先端のツールより優れており、15のCVEのうち14が検出されている。 さらに、最近の5000のオンチェーン契約で89.2%の精度を達成し、76.9%の最高の既存のツールをはるかに上回っている。 83の現実世界のリポジトリでは、TRACEは87.0%の精度を達成しており、DeepSeek-R1の14.3%を大きく上回っている。

関連論文リスト

• TraceLLM: Security Diagnosis Through Traces and Smart Contracts in Ethereum [23.800363904247146]
  TraceLLMは、ジョイントトレースとコントラクトコード駆動セキュリティ分析のための最初のベンチマークを確立する。 TraceLLMは85.19%の精度で攻撃者および被害者のアドレスを特定し、70.37%の精度で自動レポートを生成する。 現実世界のインシデント全体で、TraceLLMは66.22%の精度でレポートを自動的に生成し、強力な一般化性を示す。
  論文  参考訳（メタデータ） (2025-09-03T05:53:56Z)
• MultiCFV: Detecting Control Flow Vulnerabilities in Smart Contracts Leveraging Multimodal Deep Learning [0.8225825738565354]
  多くのスマートコントラクトには脆弱性やエラーが含まれており、ブロックチェーン内のアセットが失われている。 本稿では,誤制御フローの脆弱性を分析し,検出するためのマルチモーダル深層学習手法であるMultiCFVを提案する。 実験により,本手法は構造情報,構文情報,意味情報を効果的に組み合わせ,スマートコントラクトの脆弱性検出とクローン検出の精度を向上することを示した。
  論文  参考訳（メタデータ） (2025-08-02T12:49:41Z)
• Decompiling Smart Contracts with a Large Language Model [51.49197239479266]
  Etherscanの78,047,845のスマートコントラクトがデプロイされているにも関わらず(2025年5月26日現在)、わずか767,520 (1%)がオープンソースである。 この不透明さは、オンチェーンスマートコントラクトバイトコードの自動意味解析を必要とする。 バイトコードを可読でセマンティックに忠実なSolidityコードに変換する,先駆的な逆コンパイルパイプラインを導入する。
  論文  参考訳（メタデータ） (2025-06-24T13:42:59Z)
• SmartBugBert: BERT-Enhanced Vulnerability Detection for Smart Contract Bytecode [0.7018579932647147]
  本稿では,BERTに基づくディープラーニングと制御フローグラフ(CFG)解析を組み合わせて,バイトコードから直接脆弱性を検出する新しいアプローチであるSmartBugBertを紹介する。 提案手法は,まずスマートコントラクトバイトコードを最適化されたオペコードシーケンスに分解し,TF-IDFを用いて意味的特徴を抽出し,実行ロジックをキャプチャするために制御フローグラフを構築し,ターゲット分析のために脆弱なCFGフラグメントを分離する。
  論文  参考訳（メタデータ） (2025-04-07T12:30:12Z)
• Interaction-Aware Vulnerability Detection in Smart Contract Bytecodes [7.5121791984664625]
  スマートコントラクトの脆弱性を検出するために,セマンティックコンテキストと関数インターフェースを統合したフレームワークであるCOBRAを提案する。 署名データベースに存在しない関数シグネチャを推測するために,SRIFを提案する。 SRIFは関数シグネチャ推論において94.76%のF1スコアを達成可能であることを示す。 ABIがなければ、推論関数機能はエンコーダを埋め、システムは89.46%のリコール率を達成する。
  論文  参考訳（メタデータ） (2024-10-28T03:55:09Z)
• Towards Exception Safety Code Generation with Intermediate Representation Agents Framework [54.03528377384397]
  大規模言語モデル(LLM)は、しばしば生成されたコードの堅牢な例外処理に苦しむ。 中間表現(IR)アプローチにより,LLM生成コードの例外安全性を実現する新しいマルチエージェントフレームワークであるSeekerを提案する。 Seekerは例外処理をScanner, Detector, Predator, Ranker, Handlerの5つの特殊エージェントに分解する。
  論文  参考訳（メタデータ） (2024-10-09T14:45:45Z)
• Alibaba LingmaAgent: Improving Automated Issue Resolution via Comprehensive Repository Exploration [64.19431011897515]
  本稿では,問題解決のためにソフトウェアリポジトリ全体を包括的に理解し,活用するために設計された,新しいソフトウェアエンジニアリング手法であるAlibaba LingmaAgentを提案する。 提案手法では,重要なリポジトリ情報を知識グラフに凝縮し,複雑さを低減し,モンテカルロ木探索に基づく戦略を採用する。 Alibaba Cloudの製品展開と評価において、LingmaAgentは、開発エンジニアが直面した社内問題の16.9%を自動で解決し、手作業による介入で43.3%の問題を解決した。
  論文  参考訳（メタデータ） (2024-06-03T15:20:06Z)
• HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
  信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。 低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。 私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
  論文  参考訳（メタデータ） (2024-01-17T00:56:23Z)
• ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep Neural Network and Transfer Learning [80.85273827468063]
  既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。 スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。 ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
  論文  参考訳（メタデータ） (2021-03-23T15:04:44Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。