ConsenSys发布了一种“模糊测试”工具,用于测试智能合约的漏洞

ConsenSys发布模糊测试工具测试智能合约漏洞

区块链技术公司ConsenSys于8月1日宣布公开发布其“Diligence Fuzzing”智能合约测试工具。这个新工具会产生“随机且无效的数据点”,以便在启动合约之前发现其中的漏洞。

2022年,去中心化金融领域的黑客攻击导致超过28亿美元的损失。根据ConsenSys的说法,这些损失促使开发者采用更复杂的测试工具,帮助他们在攻击者之前发现漏洞。

这个新工具曾经只在封闭的测试版中提供,开发者需要申请批准才能使用。但自8月1日起,不再需要这个批准流程。Diligence Fuzzing现在还与智能合约工具Foundry集成,并提供了一个免费版本供开发者在花费任何资金之前进行测试。

Diligence Fuzzing教程。来源:Consensys

相关:加密支付网关CoinsPaid怀疑Lazarus Group参与了3700万美元的黑客攻击

在接受Cointelegraph采访时,ConsenSys安全服务负责人Liz Daldalian更详细地解释了这个工具的工作原理。开发者可以使用一种名为“Scribble”的机器语言为他们的合约添加注释,这也是由ConsenSys开发的。一旦这样做了,注释将被模糊测试工具理解。该工具会生成“意外”的输入,以测试合约是否会被迫产生意外的操作。

ConsenSys安全研究员Gonçalo Sá表示,这个工具不是一个“黑盒模糊测试器”。它不会产生完全随机的数据。相反,它是一个“灰盒模糊测试器”,它利用程序当前状态的理解来减少产生的数据类型,提高工具的效率。

Sá表示,最近开发者对模糊测试的兴趣越来越大。随着Foundry变得越来越受欢迎,开发者已经开始使用其默认的黑盒模糊测试器,并逐渐习惯使用它。另一方面,一些用户希望得到比默认测试器更复杂的测试工具,而Diligence Fuzzer就是可以提供这种工具的。他说:

“人们现在正试图利用手中的不同类型的安全工具的力量。Foundry有一个非常容易使用的黑盒模糊测试器。[…]所以人们现在开始理解模糊测试的力量。[…]他们正在寻找更强大的工具。”

智能合约的黑客攻击一直是用户面临的问题。除去拉盘和网络钓鱼诈骗,2023年上半年Web3的安全漏洞导致超过4.7143亿美元的损失。Daldalian警告说,Diligence Fuzzing并不能解决所有智能合约的黑客攻击问题,但她认为,它是“开发者可以用来编写更安全的智能合约的武器库中的一个工具”,至少可以将Web3社区朝着减少这些攻击带来的损失的方向前进。