[논문 리뷰] Security Analysis Methods on Ethereum Smart Contract Vulnerabilities: A Survey
이 설문조사는 16건의 이더리움 스마트 컨트랙트 취약점과 19건의 소프트웨어 보안 이슈를 분석하고, 정적/동적 분석 및 형식 검증 도구를 검토하며, 도전과 향후 방향에 대해 논의한다.
Smart contracts are software programs featuring both traditional applications and distributed data storage on blockchains. Ethereum is a prominent blockchain platform with the support of smart contracts. The smart contracts act as autonomous agents in critical decentralized applications and hold a significant amount of cryptocurrency to perform trusted transactions and agreements. Millions of dollars as part of the assets held by the smart contracts were stolen or frozen through the notorious attacks just between 2016 and 2018, such as the DAO attack, Parity Multi-Sig Wallet attack, and the integer underflow/overflow attacks. These attacks were caused by a combination of technical flaws in designing and implementing software codes. However, many more vulnerabilities of less severity are to be discovered because of the scripting natures of the Solidity language and the non-updateable feature of blockchains. Hence, we surveyed 16 security vulnerabilities in smart contract programs, and some vulnerabilities do not have a proper solution. This survey aims to identify the key vulnerabilities in smart contracts on Ethereum in the perspectives of their internal mechanisms and software security vulnerabilities. By correlating 16 Ethereum vulnerabilities and 19 software security issues, we predict that many attacks are yet to be exploited. And we have explored many software tools to detect the security vulnerabilities of smart contracts in terms of static analysis, dynamic analysis, and formal verification. This survey presents the security problems in smart contracts together with the available analysis tools and the detection methods. We also investigated the limitations of the tools or analysis methods with respect to the identified security vulnerabilities of the smart contracts.
연구 동기 및 목표
- DAO, Parity와 같은 주요 자산 손실을 야기한 이더리움 스마트 컨트랙트의 핵심 취약점을 식별
- 취약점을 소프트웨어 보안 이슈에 매핑하여 근본 원인을 이해
- 보안 분석 방법(정적, 동적, 형식 검증) 및 도구를 분류하고 비교
- 분석 방법의 한계를 평가하고 향후 연구 방향을 제안
- 실무자를 위한 안전한 스마트 컨트랙트 개발 및 검증에 대한 지침 제공
제안 방법
- 고품질 저널과 주요 학술대회의 이더리움 스마트 컨트랙트 보안에 관한 문헌을 검토하고 합성(약 125편)
- 16개의 이더리움 취약점을 19개의 소프트웨어 보안 이슈와 상관관계로 분석하여 악용 가능성을 예측
- 보안 분석 방법을 정적 분석, 동적 분석, 형식 검증으로 분류
- 도구 및 검증 모델 전반에서 취약점 발견과 커버리지를 비교
- 확인된 취약점과의 관련성에서 도구/방법의 한계를 요약
- 실제 공격(예: DAO, Parity Multisig Wallet, 정수 오버플로우/언더플로우)와 완화 관행에 대해 논의
실험 결과
연구 질문
- RQ1이더리움 스마트 컨트랙트에 대한 어떤 주요 공격이 상당한 암호화폐 손실을 초래했는가?
- RQ2스마트 컨트랙트의 취약점이 시스템에 어떤 영향을 미치고 공격자에 의해 어떻게 악용되는가?
- RQ3이더리움에서 스마트 컨트랙트 문제를 검증하고 확인하기 위해 어떤 보안 분석 방법이 존재하는가?
- RQ4기존 도구와 형식 검증 방법이 확인된 취약점을 얼마나 잘 다루는가?
주요 결과
- The DAO attack (2016) demonstrated a re-entrancy vulnerability enabling recursive withdrawals before state updates.
- The Parity Multi-Sig Wallet attack (2017) exposed weaknesses in external libraries and lack of access control across deployed wallets.
- Integer overflow/underflow attacks (e.g., 2018 POWH coin) show how fixed-size integer types enable asset theft, mitigated by SafeMath and similar approaches.
- Solidity programming practices (e.g., use of call.value, missing access modifiers) contribute to critical vulnerabilities.
- The survey correlates 16 Ethereum vulnerabilities with 19 software security issues, highlighting many attacks remain exploitable.
- Security analysis methods are categorized and evaluated for their coverage, limitations, and applicability to vulnerability detection and formal verification.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.