DogeFuzz : um framework extensível para estudos de fuzzing na análise dinâmica de Smart Contracts

Registro completo de metadados
MetadadosDescriçãoIdioma
Autor(es): dc.contributorAlmeida, Rodrigo Bonifácio de-
Autor(es): dc.creatorMedeiros, Ismael Coelho-
Data de aceite: dc.date.accessioned2024-10-23T16:16:45Z-
Data de disponibilização: dc.date.available2024-10-23T16:16:45Z-
Data de envio: dc.date.issued2024-08-13-
Data de envio: dc.date.issued2024-08-13-
Data de envio: dc.date.issued2024-08-13-
Data de envio: dc.date.issued2023-07-07-
Fonte completa do material: dc.identifierhttp://repositorio2.unb.br/jspui/handle/10482/49807-
Fonte: dc.identifier.urihttp://educapes.capes.gov.br/handle/capes/904320-
Descrição: dc.descriptionDissertação (Mestrado) — Universidade de Brasília, Instituto de Ciências Exatas, Departamento de Ciência da Computação, 2023.-
Descrição: dc.descriptionSmart contracts são programas Turing-completo que são executados em uma rede Blockchain. Muitas vezes, este tipo de programa armazena ativos digitais valiosos e em um Blockchain como o Ethereum, o bytecode de cada smart contract está público e transparente, e por isso, pode ser acessado por qualquer um. Isso faz com que este tipo de programa seja alvo constante de ataques e que a segurança de um contrato seja algo crítico. Este trabalho visa apresentar uma ferramenta flexível (chamada DogeFuzz) de forma que seja possível experimentar diferentes técnicas de fuzzing na análise dinâmica de smart contracts. Entre as estratégias de fuzzing existentes, exploramos os benefícios de se utilizar as técnicas de greybox fuzzing e directed greybox fuzzing direcionada a instruções críticas de um smart contract. Foi mostrado, por meio de um experimento com cerca de 300 smart contracts, que estas técnicas conseguiram encontrar vulnerabilidades mais rapidamente que uma estratégia de fuzzing simples como blackbox fuzzing, que gera inputs completamente aleatórios. Além disso, concluímos que uma ferramenta de fuzzing necessita ter tempo para gerar uma quantidade grande de inputs para explorar melhoras as vulnerabilidades existentes nos smart contracts e que novas pesquisas em cima do DogeFuzz devem levar isto em consideração na hora de planejar o experimento. E por fim, foi feita uma análise da relação de métricas (como cobertura, tempo de execução, e instruções críticas executadas) e a detecção de vulnerabilidades, e foi notado que algumas vulnerabilidades possuíam uma certa relação com estas métricas que foram colhidas durante a execução do experimento.-
Descrição: dc.descriptionCoordenação de Aperfeiçoamento de Pessoal de Nível Superior (CAPES).-
Descrição: dc.descriptionSmart contracts are Turing-complete programs that run on a Blockchain network. Often, this type of program stores valuable digital assets and on a Blockchain like Ethereum, the bytecode of each smart contract is public and transparent, and therefore can be accessed by anyone. This makes this type of program a constant target of attacks and the security of a contract is something critical. This work aims to present a flexible tool (called DogeFuzz) so that it is possible to experiment with different fuzzing techniques in the dynamic analysis of smart contracts. Among the existing fuzzing strategies, we explore the benefits of using greybox fuzzing and directed greybox fuzzing directed at critical instructions of a smart contract. It was shown, through an experiment with about 300 smart contracts, that these techniques managed to find vulnerabilities faster than a simple fuzzing strategy like blackbox fuzzing, which generates inputs completely random. In addition, we conclude that a fuzzing tool needs to have time to generate a large amount of inputs to better exploit existing vulnerabilities in smart contracts and that further research on DogeFuzz should take this into account when designing the experiment. And finally, an analysis was made of the relationship between metrics (such as coverage, execution time, and critical instructions executed) and the detection of vulnerabilities, and it was noted that some vulnerabilities had a certain relationship with these metrics that were collected during execution of the experiment.-
Descrição: dc.descriptionInstituto de Ciências Exatas (IE)-
Descrição: dc.descriptionDepartamento de Ciência da Computação (IE CIC)-
Descrição: dc.descriptionPrograma de Pós-Graduação em Informática-
Formato: dc.formatapplication/pdf-
Idioma: dc.languagept_BR-
Direitos: dc.rightsAcesso Aberto-
Direitos: dc.rightsA concessão da licença deste item refere-se ao termo de autorização impresso assinado pelo autor com as seguintes condições: Na qualidade de titular dos direitos de autor da publicação, autorizo a Universidade de Brasília e o IBICT a disponibilizar por meio dos sites www.unb.br, www.ibict.br, www.ndltd.org sem ressarcimento dos direitos autorais, de acordo com a Lei nº 9610/98, o texto integral da obra supracitada, conforme permissões assinaladas, para fins de leitura, impressão e/ou download, a título de divulgação da produção científica brasileira, a partir desta data.-
Palavras-chave: dc.subjectSegurança de software-
Palavras-chave: dc.subjectContratos inteligentes-
Palavras-chave: dc.subjectFuzzing (Computação)-
Palavras-chave: dc.subjectSoftware - análise-
Palavras-chave: dc.subjectBlockchain-
Título: dc.titleDogeFuzz : um framework extensível para estudos de fuzzing na análise dinâmica de Smart Contracts-
Tipo de arquivo: dc.typelivro digital-
Aparece nas coleções:Repositório Institucional – UNB

Não existem arquivos associados a este item.