核心概念
本研究は、実世界のDAppプロジェクトから大規模な弱点データセットを構築し、既存の弱点検出ツールの性能を評価することを目的としている。
要約
本研究は以下の3つの主要な成果を提示している:
DAPPSCAN-SOURCEデータセットの構築:
22人の参加者が44人月をかけて、29のセキュリティチームが提供した1,199の監査レポートを分析し、9,154の弱点を特定した。
その中で1,618のSWC弱点が682のDAppプロジェクトから抽出された。
DAppプロジェクトは平均58個のSolidity ファイルと7,885行のコードを持ち、66.3%がSolidity 0.6以降のバージョンを使用している。
DAPPSCAN-BYTECODEデータセットの構築:
DAppプロジェクトの依存関係を自動的に分析し、欠落しているライブラリコードを補完することで、6,665個のコンパイル可能なスマートコントラクトを生成した。
このデータセットには888個のSWC弱点が含まれている。
既存ツールの評価:
DAPPSCAN-BYTECODEデータセットを用いて、7つの代表的な弱点検出ツールの性能を評価した。
結果は、これらのツールが実世界のDAppプロジェクトの弱点を正確に検出できていないことを示している。
これは、これらのツールの評価が主に単純なおもちゃのコントラクトに基づいていたためと考えられる。
本研究は、実世界のDAppプロジェクトに基づいた大規模で信頼性の高いデータセットを提供し、スマートコントラクトの弱点検出ツールの評価と改善に役立つことが期待される。
統計
DAppプロジェクトは平均58個のSolidity ファイルと7,885行のコードを持つ
66.3%のDAppプロジェクトがSolidity 0.6以降のバージョンを使用している
DAPPSCAN-BYTECODEデータセットには888個のSWC弱点が含まれている
引用
"DAppプロジェクトは不変で自己実行され、中央集権的なアーキテクチャを持たないため、DAppの透明性と信頼性が保証される。"
"SWCレジストリは、依然として最も広く使用されている弱点分類の1つであり、既存の分析ツールによって検出される弱点のほとんどをカバーしている。"