Multitagging: un marco de etiquetado y evaluación de contratos inteligentes vulnerables
Autores: Alsunaidi, Shikah J.; Aljamaan, Hamoud; Hammoudeh, Mohammad
Idioma: Inglés
Editor: MDPI
Año: 2024
Acceso abierto
Artículo científico
2024
Multitagging: un marco de etiquetado y evaluación de contratos inteligentes vulnerables
Categoría
Ingeniería y Tecnología
Subcategoría
Ingeniería Eléctrica y Electrónica
Palabras clave
Identificación de vulnerabilidades
Contratos inteligentes
Métodos de identificación de vulnerabilidades
Marco de etiquetado múltiple
Clasificación de debilidades de seguridad
Proyecto de seguridad de aplicaciones descentralizadas
Votación basada en el poder
Licencia
CC BY-SA – Atribución – Compartir Igual
Consultas: 27
Citaciones: Sin citaciones
Identificar vulnerabilidades en Contratos Inteligentes (CIs) es crucial, ya que pueden provocar pérdidas financieras significativas si son explotadas. Aunque existen varios métodos de identificación de vulnerabilidades en CI, seleccionar el enfoque más efectivo sigue siendo un desafío. Este artículo examina estos desafíos e introduce soluciones para mejorar la identificación de vulnerabilidades en CI. Introduce MultiTagging, un marco de etiquetado múltiple de CI modular diseñado para superar limitaciones en los enfoques existentes de identificación de vulnerabilidades en CI. MultiTagging automatiza el etiquetado de vulnerabilidades en CI al analizar informes de análisis y asignar etiquetas específicas de herramientas a etiquetas estandarizadas, incluidos los códigos de Clasificación de Debilidades de CI (SWC) y las clasificaciones del Proyecto de Seguridad de Aplicaciones Descentralizadas (DASP). Su estrategia de asignación y la taxonomía de vulnerabilidades propuesta resuelven inconsistencias de etiquetado a nivel de herramienta, donde diferentes herramientas utilizan etiquetas distintas para vulnerabilidades idénticas. El marco integra un módulo de evaluación para evaluar los métodos de identificación de vulnerabilidades en CI. MultiTagging permite el etiquetado de vulnerabilidades en CI basado en herramientas y basado en votos. Para mejorar la precisión del etiquetado, el artículo propone el voto basado en la Potencia, un método que define sistemáticamente roles de votantes y umbrales de votación para cada vulnerabilidad. MultiTagging se utiliza para evaluar el etiquetado en seis herramientas: MAIAN, Mythril, Semgrep, Slither, Solhint y VeriSmart. Los resultados revelan una alta cobertura para Mythril, Slither y Solhint, que identificaron ocho, siete y seis clases de DASP, respectivamente. El rendimiento de las herramientas varió, subrayando la imposibilidad de depender de una sola herramienta para identificar todas las clases de vulnerabilidades. Una evaluación comparativa del voto basado en la Potencia y dos métodos basados en umbrales- AlMenosUno y VotoMayoritario- muestra que si bien los métodos de votación pueden aumentar la cobertura de identificación de vulnerabilidades, también pueden reducir el rendimiento de detección. El voto basado en la Potencia resultó más efectivo que los métodos puramente basados en umbrales en todas las clases de vulnerabilidades.
Descripción
Identificar vulnerabilidades en Contratos Inteligentes (CIs) es crucial, ya que pueden provocar pérdidas financieras significativas si son explotadas. Aunque existen varios métodos de identificación de vulnerabilidades en CI, seleccionar el enfoque más efectivo sigue siendo un desafío. Este artículo examina estos desafíos e introduce soluciones para mejorar la identificación de vulnerabilidades en CI. Introduce MultiTagging, un marco de etiquetado múltiple de CI modular diseñado para superar limitaciones en los enfoques existentes de identificación de vulnerabilidades en CI. MultiTagging automatiza el etiquetado de vulnerabilidades en CI al analizar informes de análisis y asignar etiquetas específicas de herramientas a etiquetas estandarizadas, incluidos los códigos de Clasificación de Debilidades de CI (SWC) y las clasificaciones del Proyecto de Seguridad de Aplicaciones Descentralizadas (DASP). Su estrategia de asignación y la taxonomía de vulnerabilidades propuesta resuelven inconsistencias de etiquetado a nivel de herramienta, donde diferentes herramientas utilizan etiquetas distintas para vulnerabilidades idénticas. El marco integra un módulo de evaluación para evaluar los métodos de identificación de vulnerabilidades en CI. MultiTagging permite el etiquetado de vulnerabilidades en CI basado en herramientas y basado en votos. Para mejorar la precisión del etiquetado, el artículo propone el voto basado en la Potencia, un método que define sistemáticamente roles de votantes y umbrales de votación para cada vulnerabilidad. MultiTagging se utiliza para evaluar el etiquetado en seis herramientas: MAIAN, Mythril, Semgrep, Slither, Solhint y VeriSmart. Los resultados revelan una alta cobertura para Mythril, Slither y Solhint, que identificaron ocho, siete y seis clases de DASP, respectivamente. El rendimiento de las herramientas varió, subrayando la imposibilidad de depender de una sola herramienta para identificar todas las clases de vulnerabilidades. Una evaluación comparativa del voto basado en la Potencia y dos métodos basados en umbrales- AlMenosUno y VotoMayoritario- muestra que si bien los métodos de votación pueden aumentar la cobertura de identificación de vulnerabilidades, también pueden reducir el rendimiento de detección. El voto basado en la Potencia resultó más efectivo que los métodos puramente basados en umbrales en todas las clases de vulnerabilidades.