Systematic review of ethereum smart contract security vulnerabilities, analysis methods and tools

Abstract

Smart Contracts, die auf der Ethereum Blockchain eingesetzt werden, halten Vermögenswerte im Wert von Milliarden von USD. Ethereum ist derzeit die am meisten genutzte Plattform für Smart Contracts. Gemessen an der Marktkapitalisierung ist Ethereum nach Bitcoin die zweitgrößte Blockchain mit einem stetig wachsenden Marktanteil. Da Smart Contracts nach der Bereitstellung nicht mehr geändert werden können, ist es von entscheidender Bedeutung, dass der Code auf potenzielle Schwachstellen überprüft wird, die erhebliche finanzielle Verluste verursachen und das Vertrauen beschädigen können. Zu diesem Zweck wurden zahlreiche Tools entwickelt, und es wird immer mehr Literatur über Schwachstellen und Erkennungsmethoden zu diesem Thema veröffentlicht. Regelmäßige Literaturanalysen sind unerlässlich, um mit der raschen Entwicklung auf diesem Gebiet Schritt halten zu können. Diese Arbeit präsentiert eine systematische Literatur- und Toolanalyse, die einen strukturierten, umfassenden Überblick über den aktuellen Stand der Technik von Tools, Smart Contract Schwachstellen und Erkennungsmethoden bietet. Die Einhaltung und Protokollierung einer präzisen Evaluierungsstrategie, Such- und Relevanzprüfungen gewährleisten umfassende und reproduzierbare Ergebnisse. Nach Bereinigung der Referenzen, Entfernung von Duplikaten sowie Anwendung von definierten Ein- und Ausschlusskriterien, führte die initiale Literatursuche zu einer ersten Identifikation von 303 Publikationen. Auf Basis einer Qualitätsbewertung auf Grundlage intrinsischer und kontextbezogener Datenqualitätsmetriken wurden schließlich 149 Primärstudien, 38 Surveys und 8 systematische Literaturanalysen für die Datenextraktion ausgewählt. Die Synthese beinhaltet eine umfassende Klassifizierung von Smart Contract Schwachstellen, eine neue Taxonomie der Eigenschaften und verwendeten Methoden von Analysetools sowie einen Überblick über Tools, einschließlich eines strukturierten Vergleichs auf Grundlage der Taxonomie. Schließlich wird eine konsolidierte Sammlung veröffentlichter und verfügbarer Benchmark-Datensätze bereitgestellt.

Smart contracts deployed to the Ethereum blockchain hold billions of dollars worth of assets. Ethereum currently represents the most widely used smart contract platform. It is the second largest blockchain system, based on market capitalization, after Bitcoin with a continuously growing market share. Since smart contracts cannot be changed after deployment, it is critical the code is checked for potential vulnerabilities, that can cause substantial financial losses and damage trust. Numerous tools have been developed for this purpose and extensive literature on vulnerabilities and detection methods on the topic keeps emerging. Regular reviews are essential in order to keep pace with the rapidly advancing field. This work presents a systematic literature and tool review providing a structured, comprehensive overview of state of the art tools, classifications of smart contract vulnerabilities, and detection methods. A precise review strategy and protocol is strictly followed and documented. Search and relevance checks assure comprehensive and reproducible results of the systematic literature review (SLR). Initial search results are collected, references cleaned up, duplicates removed and inclusion and exclusion criteria applied, resulting in an first identification of 303 publications. After conducting a quality appraisal based on intrinsic and contextual data quality metrics, a final set of 149 primary studies, 38 surveys and 8 SLRs is selected for data extraction. The synthesis includes a comprehensive classification of smart contract vulnerabilities, a novel taxonomy of analysis tool properties and methods employed, as well as an overview of tools, including a structured comparison based on the taxonomy. Finally, a consolidated collection of published and available benchmark data sets is provided.