Context: Smart contracts are computer programs deployed on the blockchain with significant value of cryptocurrency. They automate transactions and asset transfers, eliminating the need for intermediaries.
These contracts serve as the foundation of decentralized applications (DApps), driving blockchain growth. However, their value and role make them attractive targets for attackers, leading to financial losses estimated at around \$6.45 billion.
Objectives: This PhD dissertation aims to improve the security of smart contracts by systematically identifying, characterizing, and automatically detecting vulnerabilities in their code, hence advancing a more secure blockchain environment.
Method: We employ repository mining, qualitative analysis, and data science techniques. Specifically, we utilize repository mining to extract Ethereum smart contract vulnerabilities from public coding platforms and vulnerability databases. Moreover, qualitative methods such as open card sorting are employed to characterize the extracted vulnerabilities. Finally, data science techniques, including machine learning algorithms, are applied to automatically detect and prioritize vulnerabilities early in the smart contract lifecycle.
Results: Our research demonstrates the effectiveness of the mentioned methods in identifying, characterizing, and detecting vulnerabilities in smart contracts. Our findings reveal significant novel vulnerabilities in Ethereum smart contracts from the selected repositories. Through qualitative and quantitative analysis, we provide insights into the distribution of these vulnerabilities across several data sources, their characteristics, and dimensions, including error sources and impacts. Furthermore, this PhD dissertation provides a unified and comprehensive taxonomy of smart contract vulnerabilities. We offer a framework and a suite of tools for automated vulnerability mining, classification, prioritization, and detection using data science techniques to improve the overall security of smart contracts. Finally, several mitigation strategies, quantitatively extracted from real-world smart contract code changes, are presented, along with recommendations and implications for researchers and practitioners.
Conclusions: In conclusion, this PhD dissertation highlights the importance of securing Ethereum smart contracts by focusing on vulnerability key characteristics, automated prioritization, and detection to prevent cyberattacks. Despite encountering challenges, such as the need for unified data and extensive resources, this PhD dissertation offers valuable insights into smart contract security during the development process. Another key challenge was addressing logic vulnerabilities, which required a more advanced understanding of code semantics and proved particularly complex compared to syntactic vulnerabilities. Future work should focus on investing in advanced semantic analysis to effectively mitigate complex vulnerabilities. Our findings enable researchers, practitioners, and tool builders to better understand smart contract vulnerabilities and strengthen security policies and tools using our datasets, tools, and framework.
Snjallsamningar eru forrit á bálkakeðjum sem varða mikil verðmæti af rafmynt.
Þau sjálfvirknivæða færslur og millifærslu á eignum, og afnema Þar með Þörfina
á milliliðum. Slíkir samningar Þjóna sem grunnur fyrir dreifð forrit (DApps),
og eru Þannig drifkraftur í vexi bálkakeðja. Hins vegar, gera verðmæti Þeirra
og hlutverk Þá að verðugu takmarki fyrir árásaraðila, sem leiðir til fjárhagslegs
taps sem metið er að 6,45 milljörðum dollara.
Þessi doktorsritgerð miðar að Því að auka öryggi snjallsamninga með Því að
greina, einkenna og greina kerfisbundið veikleika í kóða Þeirra og Þar með Þróa
öruggara bálkakeðjuumhverfi.
Við notum gagnanám, eigindlega greiningu og gagnavísindalegar aðferðir. Nánar
tiltekið notum við gagnanám til að finna veikleika í Ethereum snjallsamningum
úr opinberum kóðunarverkvöngum og veikleikagagnagrunnum. Auk Þess eru
eigindlegar aðferðir eins og opin kortaflokkun notaðar til að lýsa veikleikunum
sem finnast. Að lokum er gagnavísindalegum aðferðum, Þar með talið vélanámi,
beitt til að greina og forgangsraða veikleikum snemma í lífsferli snjallsamninga.
Rannsóknir okkar sýnir fram á árangur áðurnefndra aðferða við að greina,
einkenna og finna veikleika í snjallsamningum. Niðurstöður okkar leiða í ljós
umtalsverða nýbreytni í veikleikum í Ethereum snjallsamningum. Með eigindlegri
greiningu fáum við innsýn í dreifingu veikleikanna á milli nokkurra gagnasafna,
einkenni Þeirra og víddir, Þ.m.t. skekkjuvalda og áhrif. Auk Þess veitir
Þessi doktorsritgerð sameinaða og yfirgripsmikla flokkun á veikleikum í snjallsamningum.
Við bjóðum upp á umgjörð og tól til sjálfvirkrar vörpunar veikleika,
flokkunar, forgangsröðunar og greiningar með gagnavísindalegum aðferðum til
að bæta heildaröryggi snjallsamninga. Að lokum eru kynntar nokkrar aðferðir
til að draga úr veikleikum, byggðar á raunverulegum breytingum á kóða snjallsamninga,
ásamt tillögum og afleiðingum fyrir rannsakendur og fræðimenn.
Í Þessari doktorsritgerð er lögð áhersla á mikilvægi Þess að tryggja öryggi
Ethereum snjallsamninga með Því að beina sjónum að lykileiginleikum veikleika,
sjálfvirkri forgangsröðun og greiningu til að koma í veg fyrir netárásir. Þrátt fyrir
að viðfangsefnin séu mörg, svo sem Þörfin fyrir sameinuð gögn og umfangsmikilar
auðlind, Þá veitir doktorsverkefnið mikilvæga innsýn í snjallsamningavernd
í Þróunarferlinu. önnur lykilviðfangsefni voru röklegir veikleikar, sem kröfðust
dýpri skilnings á merkingarfræði og reyndust sérlega flókin í samanburði við
málskipanar veikleika. Næstu skref í Þessum rannsóknum er að leggja áherslu
á að fjárfesta í Þróaðri merkingarfræðilegri greiningu til að draga úr flóknum
veikleikum á skilvirkan hátt. Niðurstöður okkar gera rannsakendum, fagaðilum
og hugbúnaðarsérfræðingum kleift að skilja betur veikleika snjallsamninga og
styrkja öryggisstefnur og verkfæri með Því að nota gagnasöfnin okkar, verkfæri
og umgjörð.
v
