Smart Contracts are computer programs that run on top of the blockchain technology. They have introduced great innovation in the blockchain, allowing the creation of decentralized applications in numerous fields. However, as for general computer programs, they are prone to coding errors. A malicious actor may exploit such errors to threaten the security of the smart contract owner and its users. In this thesis, we develop a novel attack methodology targeting smart contract vulnerabilities. Similar to ransomware, a malicious user targets a vulnerability in a smart contract and demands a ransom to stop exploiting it. We start from an extensive taxonomy of the known vulnerabilities to understand which of them are exploitable for this novel attack model. Subsequently, the focus shifts to examining updated tools specialized in automatic smart-contract analysis. Finally, after analyzing thousands of currently deployed smart contracts, we inspect the results to understand how this novel attack model would perform in a real-world scenario.

Gli Smart Contracts sono programmi informatici che vengono eseguiti sulla tecnologia blockchain. Hanno introdotto grandi innovazioni nella blockchain, consentendo la creazione di applicazioni decentralizzate in numerosi campi. Tuttavia, come per i programmi informatici in generale, sono soggetti a errori di codice. Un utente malintenzionato può sfruttare tali errori per minacciare la sicurezza del proprietario dello Smart Contract e dei suoi utenti. In questa tesi, sviluppiamo una nuova metodologia di attacco che mira alle vulnerabilità degli Smart Contracts. In modo simile al ransomware, un utente malintenzionato prende di mira una vulnerabilità in uno smart contract e chiede un riscatto per smettere di sfruttarla. Partiamo da un'ampia tassonomia delle vulnerabilità note per capire quali di esse sono sfruttabili per questo nuovo modello di attacco. Successivamente, l'attenzione si sposta sullo studio di programmi aggiornati specializzati nell'analisi automatica degli Smart Contracts. Infine, dopo aver analizzato migliaia di smart contract attualmente in uso, esaminiamo i risultati per capire come questo nuovo modello di attacco si comporterebbe in uno scenario reale.

Extorsionware: Bringing Ransomware Attacks to Blockchain Smart Contracts

CATTAI, CHRISTIAN
2021/2022

Abstract

Smart Contracts are computer programs that run on top of the blockchain technology. They have introduced great innovation in the blockchain, allowing the creation of decentralized applications in numerous fields. However, as for general computer programs, they are prone to coding errors. A malicious actor may exploit such errors to threaten the security of the smart contract owner and its users. In this thesis, we develop a novel attack methodology targeting smart contract vulnerabilities. Similar to ransomware, a malicious user targets a vulnerability in a smart contract and demands a ransom to stop exploiting it. We start from an extensive taxonomy of the known vulnerabilities to understand which of them are exploitable for this novel attack model. Subsequently, the focus shifts to examining updated tools specialized in automatic smart-contract analysis. Finally, after analyzing thousands of currently deployed smart contracts, we inspect the results to understand how this novel attack model would perform in a real-world scenario.
2021
Extorsionware: Bringing Ransomware Attacks to Blockchain Smart Contracts
Gli Smart Contracts sono programmi informatici che vengono eseguiti sulla tecnologia blockchain. Hanno introdotto grandi innovazioni nella blockchain, consentendo la creazione di applicazioni decentralizzate in numerosi campi. Tuttavia, come per i programmi informatici in generale, sono soggetti a errori di codice. Un utente malintenzionato può sfruttare tali errori per minacciare la sicurezza del proprietario dello Smart Contract e dei suoi utenti. In questa tesi, sviluppiamo una nuova metodologia di attacco che mira alle vulnerabilità degli Smart Contracts. In modo simile al ransomware, un utente malintenzionato prende di mira una vulnerabilità in uno smart contract e chiede un riscatto per smettere di sfruttarla. Partiamo da un'ampia tassonomia delle vulnerabilità note per capire quali di esse sono sfruttabili per questo nuovo modello di attacco. Successivamente, l'attenzione si sposta sullo studio di programmi aggiornati specializzati nell'analisi automatica degli Smart Contracts. Infine, dopo aver analizzato migliaia di smart contract attualmente in uso, esaminiamo i risultati per capire come questo nuovo modello di attacco si comporterebbe in uno scenario reale.
Extorsionware
Blockchain
Ethereum
Smart Contract
Ransomware
File in questo prodotto:
File Dimensione Formato  
Cattai_Christian.pdf

accesso aperto

Dimensione 1.41 MB
Formato Adobe PDF
1.41 MB Adobe PDF Visualizza/Apri

The text of this website © Università degli studi di Padova. Full Text are published under a non-exclusive license. Metadata are under a CC0 License

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/20.500.12608/33778