Skip to main content
QUICK REVIEW

[論文レビュー] Characterizing Code Clones in the Ethereum Smart Contract Ecosystem

Ningyu He, Lei Wu|arXiv (Cornell University)|May 1, 2019
Advanced Malware Detection Techniques参考文献 27被引用数 28
ひとこと要約

本論文は、1000万件のスマートコントラクトを対象に、独自開発のファジーキャッシュ手法を用いて、イーサリアムスマートコントラクトエコシステムにおけるコードクローンの最初の大規模分析を提示する。96%以上のコントラクトが同一または類似していることが判明し、類似ペアのうち9.7%が同一の脆弱性を共有しており、41のDAppクラスタが、元の市場規模の30%に相当する30%の金融的損失をもたらした。

ABSTRACT

In this paper, we present the first large-scale and systematic study to characterize the code reuse practice in the Ethereum smart contract ecosystem. We first performed a detailed similarity comparison study on a dataset of 10 million contracts we had harvested, and then we further conducted a qualitative analysis to characterize the diversity of the ecosystem, understand the correlation between code reuse and vulnerabilities, and detect the plagiarist DApps. Our analysis revealed that over 96% of the contracts had duplicates, while a large number of them were similar, which suggests that the ecosystem is highly homogeneous. Our results also suggested that roughly 9.7% of the similar contract pairs have exactly the same vulnerabilities, which we assume were introduced by code clones. In addition, we identified 41 DApps clusters, involving 73 plagiarized DApps which had caused huge financial loss to the original creators, accounting for 1/3 of the original market volume.

研究の動機と目的

  • イーサリアムスマートコントラクトエコシステム全体におけるコード再利用およびクローン行動を体系的に同定すること。
  • 特に脆弱性の拡散に関連するコードクローンのセキュリティ的影響を調査すること。
  • 著作権侵害を引き起こし、元の開発者に財務的損害を与えた、不正コピーされた分散型アプリケーション(DApps)を同定・分析すること。
  • 特にERC20やゲームDAppsのような人気テンプレートにおいて、コントラクトクローンの背後にある構造的および経済的要因を理解すること。

提案手法

  • 2015年7月から2018年12月にかけてデプロイされた1000万件のイーサリアムスマートコントラクトのデータセットを収集した。
  • 関数に影響しないコード(例:作成コードやスウォームコード)を除去し、EVMオペコードのみにトークン化することで、事前処理を実施した。
  • 類似性比較用のフィンガープrintを生成するために、カスタマイズされたファジーキャッシュ技術を適用した。
  • オペコード長などのメタ特徴に基づくプルーニング戦略を用いて、ペairワイズ類似性比較を高速化した。
  • 類似性の閾値を70に設定し、クローンのスケーラブルな検出を可能にした。
  • 類似性に基づいてコントラクトをクラスタリングし、特にERC20、ICO、ゲームDAppsにおける共通テンプレートや模倣のパターンを同定した。

実験結果

リサーチクエスチョン

  • RQ1イーサリアムスマートコントラクトエコシステム全体で、コードクローンはどの程度広がっているか?
  • RQ2コードクローンと脆弱性の拡散の関係は何か?
  • RQ3どの種類のDAppsが最も頻繁にクローン化されており、元の開発者にどのような経済的影響を与えているか?
  • RQ4模倣されたDAppsは、元のDAppsと比較して市場規模やユーザー参加度においてどう異なるか?
  • RQ5スマートコントラクトにおけるコード再利用とクローンの背後にある主要なテンプレートやパターンは何か?

主な発見

  • 分析対象の1000万件のスマートコントラクトの96%以上が同一または非常に類似しており、エコシステム全体に極めて高い均質性が見られた。
  • 類似ペアの約9.7%が同一の脆弱性を共有しており、脆弱性がコードクローンを通じて広く拡散されていることが示唆された。
  • 合計41のDAppクラスタが同定され、73の模倣DAppsが関与しており、合計で89,565.321 ETHの取引高を記録した。これは、元の41のDAppsの合計取引高304,797.344 ETHの約30%に相当する。
  • 41のクラスタのうち18では、模倣されたDAppsの取引高が元のDAppsを上回っており、一部のクローンは元のDAppsの2〜3倍の活動量を記録していた。
  • ERC20トークンコントラクト、ICO、ゲームDAppsがクローンの主なテンプレートであり、少数のクラスタが大多数のコントラクトを占めるパレート的分布が見られた。
  • 本研究は、イーサリアムのオープンソース的価値観と著作権保護の欠如との矛盾を確認した。模倣DAppsは、元の開発者に顕著な財務的損害を与えている。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。