論文の概要: Belobog: Move Language Fuzzing Framework For Real-World Smart Contracts

• arxiv url: http://arxiv.org/abs/2512.02918v1
• Date: Tue, 02 Dec 2025 16:36:13 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-12-03 21:04:45.967681
• Title: Belobog: Move Language Fuzzing Framework For Real-World Smart Contracts
• Title（参考訳）: Belobog: リアルタイムスマートコントラクトのための言語ファジィフレームワーク
• Authors: Wanxu Xia, Ziqiao Kong, Zhengwei Li, Yi Lu, Pan Li, Liqun Yang, Yang Liu, Xiapu Luo, Shaohua Li,
• Abstract要約: 本稿では,モブスマートコントラクトのためのファジングフレームワークであるBelobogを紹介する。 Belobogは型対応であり、生成されたトランザクションと変更されたトランザクションが適切に型付けされていることを保証します。 我々は,Belobogが100%クリティカルかつ79%の重大な脆弱性を人手による検査で検出できることを示した。
• 参考スコア（独自算出の注目度）: 37.83037587387153
• License: http://creativecommons.org/licenses/by-nc-nd/4.0/
• Abstract: Move is a research-oriented programming language design for secure and verifiable smart contract development and has been widely used in managing billions of digital assets in blockchains, such as Sui and Aptos. Move features a strong static type system and explicit resource semantics to enforce safety properties such as the prevention of data races, invalid asset transfers, and entry vulnerabilities. However, smart contracts written in Move may still contain certain vulnerabilities that are beyond the reach of its type system. It is thus essential to validate Move smart contracts. Unfortunately, due to its strong type system, existing smart contract fuzzers are ineffective in producing syntactically or semantically valid transactions to test Move smart contracts. This paper introduces the first fuzzing framework, Belobog, for Move smart contracts. Belobog is type-aware and ensures that all generated and mutated transactions are well-typed. More specifically, for a target Move smart contract, Belobog first constructs a type graph based on Move's type system, and then generates or mutates a transaction based on the graph trace derived from the type graph. In order to overcome the complex checks in Move smart contracts, we further design and implement a concolic executor in Belobog. We evaluated Belobog on 109 real-world Move smart contract projects. The experimental results show that Belobog is able to detect 100\% critical and 79\% major vulnerabilities manually audited by human experts. We further selected two recent notorious incidents in Move smart contracts, i.e., Cetus and Nemo. Belobog successfully reproduced full exploits for both of them, without any prior knowledge.
• Abstract（参考訳）: Moveは、セキュアで検証可能なスマートコントラクト開発のための研究指向のプログラミング言語設計で、SwiやAptosといったブロックチェーンにおける数十億のデジタル資産の管理に広く使用されている。 Moveは強力な静的型システムと明示的なリソースセマンティクスを備え、データ競合の防止、不正なアセット転送、エントリ脆弱性などの安全性を強制する。 しかし、Moveで書かれたスマートコントラクトには、型システムの範囲を超えている特定の脆弱性が含まれている可能性がある。 したがって、スマートコントラクトの検証は不可欠である。 残念ながら、強力な型システムのため、既存のスマートコントラクトファザは、スマートコントラクトをテストするための構文的または意味論的に有効なトランザクションを生成するのに効果がありません。 本稿では,モブスマートコントラクトのためのファジングフレームワークであるBelobogを紹介する。 Belobogは型対応であり、生成されたトランザクションと変更されたトランザクションが適切に型付けされていることを保証します。 具体的には、ターゲットのMoveスマートコントラクトに対して、BelobogはまずMoveの型システムに基づいて型グラフを構築し、次にタイプグラフから派生したグラフトレースに基づいてトランザクションを生成または変更する。 スマートコントラクトの複雑なチェックを克服するために,Belobogのコンコリックエグゼキュータをさらに設計し,実装する。 実世界の109のスマートコントラクトプロジェクトでBelobogを評価した。 実験の結果、Belobogは人間の専門家が手作業で検査した100\%、79\%の重大な脆弱性を検出できることがわかった。 我々はまた、Moveスマートコントラクト、すなわちCetusとNemoで最近悪名高い2つのインシデントを選択した。 ベロボグは、事前の知識もなく、両者の完全な搾取を成功させた。

関連論文リスト

• One Signature, Multiple Payments: Demystifying and Detecting Signature Replay Vulnerabilities in Smart Contracts [56.94148977064169]
  署名の使用状況のチェックが不足すると、繰り返し検証が行われ、許可の不正使用のリスクが増大し、契約資産が脅かされる可能性がある。 我々はこの問題をSignature Replay Vulnerability (SRV) として定義する。 37のブロックチェーンセキュリティ企業を対象とした1,419の監査報告から、詳細なSRV記述と5種類のSRVを分類した108を識別しました。
  論文  参考訳（メタデータ） (2025-11-12T09:17:13Z)
• Trace: Securing Smart Contract Repository Against Access Control Vulnerability [58.02691083789239]
  GitHubはソースコード、ドキュメント、設定ファイルを含む多数のスマートコントラクトリポジトリをホストしている。 サードパーティの開発者は、カスタム開発中にこれらのリポジトリからコードを参照、再利用、フォークすることが多い。 スマートコントラクトの脆弱性を検出する既存のツールは、複雑なリポジトリを扱う能力に制限されている。
  論文  参考訳（メタデータ） (2025-10-22T05:18:28Z)
• Satellite: Detecting and Analyzing Smart Contract Vulnerabilities caused by Subcontract Misuse [38.22453729381166]
  Satelliteは、スマートコントラクトにおけるミスユース脆弱性検出のサブコントラクトのための、新しいバイトコードレベルの静的分析フレームワークである。 衛星は10,011個の現実世界のスマートコントラクトで14個の新しい未知のSMVを識別することに成功した。
  論文  参考訳（メタデータ） (2025-09-28T06:39:58Z)
• LLAMA: Multi-Feedback Smart Contract Fuzzing Framework with LLM-Guided Seed Generation [56.84049855266145]
  進化的突然変異戦略とハイブリッドテスト技術を統合したマルチフィードバックスマートコントラクトファジリングフレームワーク(LLAMA)を提案する。 LLAMAは、91%の命令カバレッジと90%のブランチカバレッジを達成すると同時に、148の既知の脆弱性のうち132が検出される。 これらの結果は、現実のスマートコントラクトセキュリティテストシナリオにおけるLAMAの有効性、適応性、実用性を強調している。
  論文  参考訳（メタデータ） (2025-07-16T09:46:58Z)
• Decompiling Smart Contracts with a Large Language Model [51.49197239479266]
  Etherscanの78,047,845のスマートコントラクトがデプロイされているにも関わらず(2025年5月26日現在)、わずか767,520 (1%)がオープンソースである。 この不透明さは、オンチェーンスマートコントラクトバイトコードの自動意味解析を必要とする。 バイトコードを可読でセマンティックに忠実なSolidityコードに変換する,先駆的な逆コンパイルパイプラインを導入する。
  論文  参考訳（メタデータ） (2025-06-24T13:42:59Z)
• SmartInv: Multimodal Learning for Smart Contract Invariant Inference [10.468390413756863]
  We present SmartInv, a accurate and fast smart contract invariant inference framework。 私たちの重要な洞察は、スマートコントラクトの期待される振る舞いは、マルチモーダル情報に対する理解と推論に依存している、ということです。 SmartInvを実世界の契約で評価し、数百万ドルの損失をもたらしたバグを再発見しました。
  論文  参考訳（メタデータ） (2024-11-14T06:28:57Z)
• MuFuzz: Sequence-Aware Mutation and Seed Mask Guidance for Blockchain Smart Contract Fuzzing [19.606053533275958]
  スマートコントラクトファズリングのためのシーケンシャル・アウェア・ミュータントとシードマスク誘導戦略を開発した。 設計を MuFuzz という新しいスマートコントラクトファザに実装し,それを3つのベンチマークで広範囲に評価する。 全体として、MuFuzzは最先端のファズーよりも高いブランチカバレッジ(25%まで)を実現し、既存のバグ検知器よりも30%多くのバグを検出する。
  論文  参考訳（メタデータ） (2023-12-07T18:32:19Z)
• Deep Smart Contract Intent Detection [5.642524477190184]
  textscSmartIntentNNは、スマートコントラクトにおける開発意図を自動的に検出するように設計されたディープラーニングモデルである。 我々は4万以上の現実世界のスマートコントラクトを含むデータセットでtextscSmartIntentNNをトレーニングし、評価した。
  論文  参考訳（メタデータ） (2022-11-19T15:40:26Z)
• ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep Neural Network and Transfer Learning [80.85273827468063]
  既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。 スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。 ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
  論文  参考訳（メタデータ） (2021-03-23T15:04:44Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。