ConsenSys випускає інструмент «fuzzing» для тестування вразливостей смарт-контрактів

Згідно з повідомленням від 1 серпня, компанія ConsenSys, яка займається технологіями блокчейну, публічно випустила свій інструмент «Diligence Fuzzing» для тестування смарт-контрактів. Новий інструмент створює «випадкові та недійсні точки даних» для пошуку вразливостей у контрактах до їх запуску.

Понад 2,8 мільярда доларів США було втрачено через зломи децентралізованих фінансів у 2022 році. За даними ConsenSys, ці втрати спонукають розробників використовувати більш складні інструменти тестування, щоб допомогти знайти вразливості раніше, ніж це зроблять зловмисники.

Раніше новий інструмент був доступний у закритій бета-версії, де розробникам потрібно було отримати дозвіл на доступ. Починаючи з 1 серпня цей процес затвердження більше не потрібний. Diligence Fuzzing також тепер інтегровано з набором інструментів для смарт-контрактів Foundry і має безкоштовну версію для розробників, які хочуть випробувати його, перш ніж витрачати гроші.

За темою: платіжний шлюз криптовалюти CoinsPaid підозрює Lazarus Group у хакерській атаці на 37 мільйонів доларів

У розмові з Cointelegraph керівник служби безпеки ConsenSys Ліз Далдалян пояснила, як працює інструмент більш детально. Розробники можуть коментувати свої контракти за допомогою машинної мови під назвою «Scribble», також розробленої ConsenSys. Як тільки вони це зроблять, анотації будуть сприйняті інструментом фаззингу. Інструмент створює «несподівані» вхідні дані, щоб перевірити, чи можна змусити контракт виконувати ненавмисні дії.

Дослідник безпеки ConsenSys Гонсало Са сказав, що інструмент не є «чорним ящиком». Він не створює абсолютно випадкових даних. Натомість це «фазер сірого ящика», який використовує розуміння поточного стану програми, щоб зменшити типи вироблених даних, підвищуючи ефективність інструменту.

Sá бачив, як нещодавно розробники почали більше цікавитися фаззингом. У міру того, як Foundry став більш популярним, розробники почали використовувати його типовий фазер чорного ящика та звикли до його використання. З іншого боку, деякі користувачі хочуть більш складний фазер, ніж стандартний, який, як він стверджував, може надати Diligence Fuzzer. Він сказав:

«Люди зараз намагаються використовувати потужність різних типів інструментів безпеки, які вони мають у своїх руках. І Foundry [має] фазер чорного ящика, який дуже простий у використанні.[…] Тож люди зараз починають розуміти силу фаззингу.[…] І вони шукають більш потужні інструменти».

Зломи смарт-контрактів продовжують створювати проблеми для користувачів. Без урахування шахрайства з використанням підлозі та фішингу, понад 471,43 мільйона доларів було втрачено через уразливості системи безпеки Web3 у першій половині 2023 року. Далдалян попередив, що Diligence Fuzzing не є «срібною кулею», яка усуне всі зломи смарт-контрактів. Однак вона стверджувала, що це «один інструмент в арсеналі, який розробники можуть використовувати для написання більш безпечних розумних контрактів», який може принаймні налаштувати спільноту Web3 на шлях мінімізації втрат від цих атак.