ConsenSys выпускает инструмент «фаззинга» для тестирования уязвимостей смарт-контрактов

Согласно объявлению от 1 августа, технологическая компания Blockchain ConsenSys публично выпустила свой инструмент Diligence Fuzzing для тестирования смарт-контрактов. Новый инструмент создает «случайные и недействительные точки данных» для поиска уязвимостей в контрактах до их запуска.

В 2022 году в результате взломов децентрализованных финансов было потеряно более 2,8 миллиарда долларов. По данным ConsenSys, эти потери побуждают разработчиков использовать более сложные инструменты тестирования, чтобы помочь найти уязвимости до того, как это сделают злоумышленники.

Раньше новый инструмент был доступен в закрытой бета-версии, где разработчикам нужно было получить разрешение на доступ. Этот процесс утверждения больше не требуется с 1 августа. Diligence Fuzzing также теперь интегрирован с набором инструментов для смарт-контрактов Foundry и предлагает бесплатную версию для разработчиков, которые хотят протестировать его, прежде чем тратить деньги.

Связанный: платежный шлюз криптовалюты CoinsPaid подозревает Lazarus Group во взломе на 37 миллионов долларов

В беседе с Cointelegraph руководитель службы безопасности ConsenSys Лиз Далдалян более подробно объяснила, как работает этот инструмент. Разработчики могут аннотировать свои контракты с помощью машинного языка Scribble, также разработанного ConsenSys. Как только они это сделают, аннотации будут поняты инструментом фаззинга. Инструмент производит «неожиданные» входные данные, чтобы проверить, можно ли заставить контракт производить непреднамеренные действия.

Исследователь безопасности ConsenSys Гонсало Са сказал, что этот инструмент не является «фаззером черного ящика». Он не производит полностью случайных данных. Вместо этого это «фаззер серого ящика», который использует понимание текущего состояния программы для уменьшения количества типов производимых данных, повышая эффективность инструмента.

Са заметил, что в последнее время разработчики все больше интересуются фаззингом. По мере того, как Foundry становился все более популярным, разработчики начали использовать фаззер черного ящика по умолчанию и привыкли к нему. С другой стороны, некоторым пользователям нужен более сложный фаззер, чем стандартный, который, как он утверждал, может предоставить Diligence Fuzzer. Он сказал:

«Люди сейчас пытаются использовать возможности различных типов инструментов безопасности, которые у них есть в руках. И Foundry [имеет] фаззер черного ящика, который действительно прост в использовании.[…] Итак, теперь люди начинают понимать силу фаззинга.[…] И они ищут более мощные инструменты».

Взломы смарт-контрактов продолжают создавать проблемы для пользователей. Не считая обмана и фишинга, более 471,43 миллиона долларов было потеряно из-за уязвимостей безопасности Web3 в первой половине 2023 года. Далдалян предупредил, что Diligence Fuzzing не является «серебряной пулей», которая устранит все взломы смарт-контрактов. Однако она утверждала, что это «один инструмент в арсенале, который разработчики могут использовать для написания более безопасных смарт-контрактов», который может, по крайней мере, направить сообщество Web3 на путь минимизации потерь от этих атак.