DeFiにおける自動化セキュリティツールの評価
分散型金融における自動化セキュリティツールの効果についての研究。
― 1 分で読む
分散型金融(DeFi)の台頭は、ブロックチェーン技術とスマートコントラクトを活用して、安全で信頼できるスマートコントラクトの開発が必要になってきた。残念ながら、スマートコントラクトは多くの攻撃を受け、多額の金銭的損失を引き起こしており、その額は約64.5億ドルに達している。研究者たちは、これらのスマートコントラクトの弱点を見つける自動化されたセキュリティツールをいくつか開発してきたが、実際の状況での効果はまだ不明である。
この記事では、これらの自動化ツールが重大な攻撃につながる脆弱性をどれほどうまく検出できるかを探る。いくつかの自動化されたセキュリティツールをレビューし、注目すべき実際の攻撃を調査し、DeFi分野の開発者や監査人にアンケートを実施する。調査を通じて、これらのツールが直面する課題と、業界の要件に応えるための改善の必要性を明らかにする。
DeFiの成長
DeFiエコシステムはその誕生以来、驚くべき成長を遂げてきた。この成長は、イーサリアムやスマートコントラクトをサポートする他のブロックチェーンの設立に起因し、分散型アプリケーション(dapps)の作成につながった。DeFiにロックされている総価値(TVL)は急増し、2021年12月には約1800億ドルに達した。ただし、この膨大な価値は攻撃者を引き寄せ、スマートコントラクトの脆弱性を利用されてしまう。
安全なdappsを書く努力にもかかわらず、攻撃者は弱点を利用して数十億ドルの損失を引き起こす。この状況は、効果的なセキュリティ対策の必要性を強調している。研究者たちは、静的分析、シンボリック実行、機械学習などのさまざまな手法を通じてスマートコントラクトのセキュリティに注力してきた。しかし、高プロファイルの攻撃は続いており、自動化されたセキュリティツールの効果にギャップがあることを示している。
研究の質問
この研究は、DeFi分野の実務者による自動化されたセキュリティツールの効果と使用に関するいくつかの質問に答えることを目指している:
- 自動化されたセキュリティツールはどのようなタイプの脆弱性を検出できるのか?これらの脆弱性は実際の攻撃でどれくらいの頻度で現れ、どの程度の深刻さを持っているのか?
- セキュリティツールは高プロファイルの攻撃をどれほど防げるのか?さまざまなカテゴリの脆弱性に対する効果はどうか?
- 開発者や監査人はどのツールを使っていて、セキュリティツールに対する好みは何か?
- 開発者や監査人がセキュリティツールを選ぶ時に重視する機能は何か?
- セキュリティツールは、開発者と監査人の視点から異なるエラーのクラスにどの程度対応できているのか?
方法論
最初の2つの質問に答えるために、127件の実際の高影響攻撃から得たデータを使って、5つの自動化セキュリティツールの詳細評価を行った。このデータセットには、これらの攻撃に関連する金銭的損失と脆弱性が含まれていた。
残りの3つの質問には、主要なDeFiプロトコルで働く49人の開発者と監査人にアンケートを実施した。このアンケートは、彼らの経験やセキュリティツールに関する好みを収集するために行われた。
調査結果
自動化されたセキュリティツールの評価
選ばれた自動化されたセキュリティツールの分析により、14種類の脆弱性を特定できることがわかった。127件の攻撃のうち、これらのカテゴリ内で32の脆弱性が特定され、約2.715億ドルの金銭的損失につながった。これらの脆弱性のほとんどは、コーディングの論理やオンチェーンオラクルに関する問題に関連しており、現在の自動化ツールでは検出されなかった。
自動化ツールの可能性にもかかわらず、32の脆弱性のうち11しか、いずれかのツールでは検出できなかった。これは、スマートコントラクトのセキュリティを強化する機会を大きく逃していることを示している。これらのツールが特定した脆弱性はすべて再入可能性に関連しており、このタイプには効果的だが、他のタイプでは苦労していることがわかった。
ツールの攻撃防止への影響
自動化されたセキュリティツールは、調査した32件の攻撃のうち11件を防げた可能性があり、約1.49億ドルの節約につながった。ただし、これらのツールはしばしば多くの誤検知を生じさせ、開発者や監査人を混乱させる報告書の数が膨大になる。
さらに、分析は、既存のツールがほとんどのプロトコル層の脆弱性に対処できていないことを示した。たとえば、半自動化されたツールはコーディングの論理問題と論理エラーを検出することで最大47件の攻撃を防ぐことができるが、多くの脆弱性は見逃されたままであった。
セキュリティツールに対する好み
アンケート結果は、開発者がリントツールのような軽量なツールを好むのに対し、監査人は静的解析ツールのようなより高度なツールを使用する傾向があることを示した。開発者の92%がオープンソースツールを好むことは、DeFi分野でのセキュリティ向上に向けた協力的な精神を示している。
セキュリティツールの特性に関して、開発者は見逃された脆弱性が少ないこと(誤検知)を重視し、監査人は無関係な警告(誤報)を最小限に抑えるツールを重視している。使いやすさと報告の質は両グループにとって必須の要素であり、異なるニーズに応えるツールの必要性を強調している。
脆弱性対処の課題
開発者と監査人の両方が、論理に関連するバグやオラクル操作の脆弱性が自動化ツールでは適切に対処されていない重大な脅威であると認識している。かなりの割合の監査人(38.1%)が、自分たちの監査におけるセキュリティツールの有用性に不満を示しており、改善の余地があることを示している。
調査結果は、ツールが複雑な脆弱性に対処するために進化する必要があることを示唆している。実務者は、深刻な損失を引き起こす可能性のある論理関連の脆弱性に対するサポートを必要としている。自動化ツールは役立つが、自動化と手動の監視の組み合わせがスマートコントラクトを保護するために重要である。
セキュリティツールの状況
使用されているツールの概要を見ると、大多数の実務者が開発者ツールキットや統合開発環境(IDE)を利用していることがわかる。ツールを一切使用していないと報告したのはごく少数で、開発ライフサイクルにおいてセキュリティ対策への強い依存が存在している。
アンケートでは、研究で使用される学術的なツールが実務では一般的でないことが示され、研究と現実のアプリケーションとの間にギャップがあることを示唆している。開発者と監査人はますますオープンソースツールに頼るようになっており、セキュリティ向上に協力的なアプローチを示している。
セキュリティツールに費やす時間
監査人は、ツールにあまり依存せずに契約を手動でレビューすることにほとんどの時間を費やしていると報告した。大多数(76%)は、監査時間のほんの小さな割合(0-20%)しかセキュリティツールの使用に割いていない。これは、ツールが価値がある一方で、監査が依然として非常に手動の作業であることを示している。
ツールの特性の重要性
セキュリティツールを選ぶ際、実務者はさまざまな属性を重視している。開発者にとって、低い誤検知率はアプリケーションの安全性を確保するために重要である。一方、監査人は、効率的に報告を整理するために誤報が少ないツールを好んでいる。
また、セットアップの容易さと使いやすさは、両グループにとって非常に重要な要素とされている。回答からは、ツールを開発ワークフローに統合し、高品質な報告を維持することの重要性が強調されている。
検出が難しい脆弱性への対処
開発者と監査人の両方が、現在のツールがサポートしていない脆弱性を検出するのに苦労している。論理エラーやオラクルの操作は、しばしば最も難しい脆弱性として挙げられる。これらの問題を検出できる改善されたツールの必要性は明らかである。
結果は、自動化ツールで検出できない脆弱性がかなりの割合で存在することを明らかにしている。これは、研究者と開発者がスマートコントラクトのセキュリティを向上させるために対処すべき重要なギャップを示している。
結論
DeFiの自動化されたセキュリティツールの分析は、高影響の脆弱性を検出する効果が限られていることを明らかにしている。ツールは再入可能性の脆弱性を検出できるが、論理関連のバグやプロトコル層の脆弱性など、他の重要な問題には苦労している。
この調査は、再入可能性の検出を超えて拡張するツールの開発に再度注力する必要があることを呼びかけている。研究者は、論理関連やその他の複雑な脆弱性を扱える半自動化ツールの作成を優先すべきであり、これらは実際のシナリオで重大なリスクをもたらす。
調査結果はまた、実務者と研究者間の協力の重要性を強調しており、セキュリティツールが実用的なニーズに応えられるよう進化する必要があることを示している。自動化ツールと手動レビューを組み合わせた包括的なアプローチが、DeFiエコシステムのスマートコントラクトを効果的にセキュリティするために不可欠である。
この研究から得られた洞察は、セキュリティツールを改善する今後の取り組みを導くことができ、最終的には全参加者にとってより安全で信頼できるDeFi環境につながる。
タイトル: Smart Contract and DeFi Security Tools: Do They Meet the Needs of Practitioners?
概要: The growth of the decentralized finance (DeFi) ecosystem built on blockchain technology and smart contracts has led to an increased demand for secure and reliable smart contract development. However, attacks targeting smart contracts are increasing, causing an estimated \$6.45 billion in financial losses. Researchers have proposed various automated security tools to detect vulnerabilities, but their real-world impact remains uncertain. In this paper, we aim to shed light on the effectiveness of automated security tools in identifying vulnerabilities that can lead to high-profile attacks, and their overall usage within the industry. Our comprehensive study encompasses an evaluation of five SoTA automated security tools, an analysis of 127 high-impact real-world attacks resulting in \$2.3 billion in losses, and a survey of 49 developers and auditors working in leading DeFi protocols. Our findings reveal a stark reality: the tools could have prevented a mere 8% of the attacks in our dataset, amounting to \$149 million out of the \$2.3 billion in losses. Notably, all preventable attacks were related to reentrancy vulnerabilities. Furthermore, practitioners distinguish logic-related bugs and protocol layer vulnerabilities as significant threats that are not adequately addressed by existing security tools. Our results emphasize the need to develop specialized tools catering to the distinct demands and expectations of developers and auditors. Further, our study highlights the necessity for continuous advancements in security tools to effectively tackle the ever-evolving challenges confronting the DeFi ecosystem.
著者: Stefanos Chaliasos, Marcos Antonios Charalambous, Liyi Zhou, Rafaila Galanopoulou, Arthur Gervais, Dimitris Mitropoulos, Ben Livshits
最終更新: 2024-01-22 00:00:00
言語: English
ソースURL: https://arxiv.org/abs/2304.02981
ソースPDF: https://arxiv.org/pdf/2304.02981
ライセンス: https://creativecommons.org/licenses/by/4.0/
変更点: この要約はAIの助けを借りて作成されており、不正確な場合があります。正確な情報については、ここにリンクされている元のソース文書を参照してください。
オープンアクセスの相互運用性を利用させていただいた arxiv に感謝します。