論文の概要: Where Do Smart Contract Security Analyzers Fall Short?

• arxiv url: http://arxiv.org/abs/2603.00890v1
• Date: Sun, 01 Mar 2026 03:27:05 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-03-03 19:50:56.400671
• Title: Where Do Smart Contract Security Analyzers Fall Short?
• Title（参考訳）: スマートコントラクトのセキュリティアナライザはどこが不足しているか?
• Authors: Tamer Abdelaziz, Salma Alsaghir, Karim Ali,
• Abstract要約: 実世界の653のスマートコントラクトに対して,広く利用されている6つのアナライザを評価した。 そして、150人のプロの開発者と監査人を調査して、彼らがこれらのツールをどのように使い、知覚しているかを理解します。 以上の結果から,過度な偽陽性,曖昧な説明,長い分析時間が,実践における信頼と採用の主な障壁であることが明らかとなった。
• 参考スコア（独自算出の注目度）: 1.6058099298620423
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Smart contracts underpin high-value ecosystems such as decentralized finance (DeFi), yet recurring vulnerabilities continue to cause losses worth billions of dollars. Although numerous security analyzers that detect such flaws exist, real-world attacks remain frequent, raising the question of whether these tools are truly effective or simply under-used due to low developer trust. Prior benchmarks have evaluated analyzers on synthetic or vulnerable-only contract datasets, limiting their ability to measure false positives, false negatives, and usability factors that drive adoption. To close this gap, we present a mixed-methods study that combines large-scale benchmarking with practitioner insights. We evaluate six widely used analyzers (i.e., Confuzzius, Dlva, Mythril, Osiris, Oyente, and Slither) on 653 real-world smart contracts that cover three high-impact vulnerability classes from the OWASP Smart Contract Top Ten (i.e., reentrancy, suicidal contract termination, and integer arithmetic errors). Our results show substantial variation in accuracy (F1 = 31.2 to 94.6%), high false-positive rates (up to 32.6%), and runtimes exceeding 700 seconds per contract. We then survey 150 professional developers and auditors to understand how they use and perceive these tools. Our findings reveal that excessive false positives, vague explanations, and long analysis times are the main barriers to trust and adoption in practice. By linking measurable performance gaps to developer perceptions, we provide concrete recommendations for improving the precision, explainability, and usability of smart-contract security analyzers.
• Abstract（参考訳）: スマートコントラクトは、分散金融(DeFi)のような高価値エコシステムを支えるものだが、繰り返し発生する脆弱性は何十億ドルもの損失をもたらし続けている。 このような欠陥を検知するセキュリティアナライザは数多く存在するが、実際の攻撃は頻繁に行われており、これらのツールが本当に効果的か、あるいは開発者の信頼が低いためにあまり使われていないかという疑問が提起されている。 以前のベンチマークでは、合成または脆弱性のみのコントラクトデータセットのアナライザを評価し、偽陽性、偽陰性、採用を促進するユーザビリティ要因を計測する能力を制限する。 このギャップを埋めるために、大規模なベンチマークと実践者の洞察を組み合わせた混合メソッドの研究を示す。 OWASP Smart Contract Top Ten(再帰性、自殺契約終了、整数算術誤差)の3つの高インパクト脆弱性クラスをカバーする653個の実世界のスマートコントラクトに対して、広く使われている6つのアナライザ(Confuzzius, Dlva, Mythril, Osiris, Oyente, Slither)を評価した。 以上の結果から,F1=31.2～94.6%,偽陽性率の高い(最大32.6%),契約1回あたり700秒を超えるランタイムが得られた。 そして、150人のプロの開発者と監査人を調査して、彼らがこれらのツールをどのように使い、知覚しているかを理解します。 以上の結果から,過度な偽陽性,曖昧な説明,長い分析時間が,実践における信頼と採用の主な障壁であることが明らかとなった。 測定可能なパフォーマンスギャップを開発者の認識にリンクすることにより、スマートコントラクトセキュリティアナライザの精度、説明可能性、使用性を改善するための具体的な勧告を提供する。

関連論文リスト

• SSR: Safeguarding Staking Rewards by Defining and Detecting Logical Defects in DeFi Staking [55.62033436283969]
  DeFi(Decentralized Finance)の買収は、DeFiエコシステムにおける最も顕著なアプリケーションの1つだ。 DeFiの盗難の論理的欠陥により、攻撃者は不当な報酬を請求できる。 我々は,DeFi取引契約における論理的欠陥を検出するための静的解析ツールであるSSR(Safeguarding Stake Reward)を開発した。
  論文  参考訳（メタデータ） (2026-01-09T15:01:41Z)
• One Signature, Multiple Payments: Demystifying and Detecting Signature Replay Vulnerabilities in Smart Contracts [56.94148977064169]
  署名の使用状況のチェックが不足すると、繰り返し検証が行われ、許可の不正使用のリスクが増大し、契約資産が脅かされる可能性がある。 我々はこの問題をSignature Replay Vulnerability (SRV) として定義する。 37のブロックチェーンセキュリティ企業を対象とした1,419の監査報告から、詳細なSRV記述と5種類のSRVを分類した108を識別しました。
  論文  参考訳（メタデータ） (2025-11-12T09:17:13Z)
• Trace: Securing Smart Contract Repository Against Access Control Vulnerability [58.02691083789239]
  GitHubはソースコード、ドキュメント、設定ファイルを含む多数のスマートコントラクトリポジトリをホストしている。 サードパーティの開発者は、カスタム開発中にこれらのリポジトリからコードを参照、再利用、フォークすることが多い。 スマートコントラクトの脆弱性を検出する既存のツールは、複雑なリポジトリを扱う能力に制限されている。
  論文  参考訳（メタデータ） (2025-10-22T05:18:28Z)
• Program Analysis for High-Value Smart Contract Vulnerabilities: Techniques and Insights [0.43975202913406947]
  私たちは、高価値なスマートコントラクトの脆弱性を自動的に発見する上で、繰り返し成功に導いたテクニックと洞察を示します。 当社の脆弱性開示は10件のバグ報奨金を得ており、合計で300万ドル以上を突破し、高度にデプロイされたコードに加えて、デプロイ前または監査下コードで検出された数百のバグが報告されている。
  論文  参考訳（メタデータ） (2025-07-28T09:53:31Z)
• MOS: Towards Effective Smart Contract Vulnerability Detection through Mixture-of-Experts Tuning of Large Language Models [16.16186929130931]
  スマートコントラクトの脆弱性は、ブロックチェーンシステムに重大なセキュリティリスクをもたらす。 本稿では,大規模言語モデルのミックス・オブ・エキスパート・チューニング(MOE-Tuning)に基づくスマートコントラクト脆弱性検出フレームワークを提案する。 実験の結果、MOSはF1のスコアが6.32%、精度が4.80%の平均的な改善で既存の手法よりも大幅に優れていた。
  論文  参考訳（メタデータ） (2025-04-16T16:33:53Z)
• Criticality and Safety Margins for Reinforcement Learning [53.10194953873209]
  我々は,定量化基盤真理とユーザにとっての明確な意義の両面から,批判的枠組みを定めようとしている。 エージェントがn連続的ランダム動作に対するポリシーから逸脱した場合の報酬の減少として真臨界を導入する。 我々はまた、真の臨界と統計的に単調な関係を持つ低オーバーヘッド計量であるプロキシ臨界の概念も導入する。
  論文  参考訳（メタデータ） (2024-09-26T21:00:45Z)
• Vulnerability Detection in Ethereum Smart Contracts via Machine Learning: A Qualitative Analysis [0.0]
  スマートコントラクトに対する機械学習の脆弱性検出における技術の現状を分析する。 スマートコントラクトにおける脆弱性検出の精度,スコープ,効率を高めるためのベストプラクティスについて議論する。
  論文  参考訳（メタデータ） (2024-07-26T10:09:44Z)
• All Your Tokens are Belong to Us: Demystifying Address Verification Vulnerabilities in Solidity Smart Contracts [24.881450403784786]
  検証のプロセスにおける脆弱性は、大きなセキュリティ問題を引き起こす可能性がある。 静的EVMオペコードシミュレーションに基づく軽量なテナントアナライザであるAVVERIFIERの設計と実装を行う。 500万以上のスマートコントラクトを大規模に評価した結果,コミュニティが公表していない812の脆弱性のあるスマートコントラクトを特定しました。
  論文  参考訳（メタデータ） (2024-05-31T01:02:07Z)
• Static Application Security Testing (SAST) Tools for Smart Contracts: How Far Are We? [14.974832502863526]
  近年,スマートコントラクトセキュリティの重要性が高まっている。 この問題に対処するため、スマートコントラクトの脆弱性を検出するために、多数の静的アプリケーションセキュリティテスト(SAST)ツールが提案されている。 本稿では,スマートコントラクトに対する45種類の脆弱性を含む,最新のきめ細かな分類法を提案する。
  論文  参考訳（メタデータ） (2024-04-28T13:40:18Z)
• Vulnerability Scanners for Ethereum Smart Contracts: A Large-Scale Study [44.25093111430751]
  2023年だけでも、そのような脆弱性は数十億ドルを超える巨額の損失をもたらした。 スマートコントラクトの脆弱性を検出し、軽減するために、さまざまなツールが開発されている。 本研究では,既存のセキュリティスキャナの有効性と,現在も継続している脆弱性とのギャップについて検討する。
  論文  参考訳（メタデータ） (2023-12-27T11:26:26Z)
• ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep Neural Network and Transfer Learning [80.85273827468063]
  既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。 スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。 ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
  論文  参考訳（メタデータ） (2021-03-23T15:04:44Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。