ConsenSys 发布模糊测试工具来测试智能合约漏洞
根据 8 月 1 日的公告,区块链技术公司 ConsenSys 公开发布了用于智能合约测试的“Diligence Fuzzing”工具。新工具会生成“随机且无效的数据点”,以便在合约发布之前发现合约中的漏洞。
2022 年,去中心化金融黑客攻击造成了超过 28 亿美元的损失。ConsenSys 表示,这些损失促使开发人员采用更复杂的测试工具,以帮助在攻击者之前发现漏洞。
该新工具过去以封闭测试版本提供,开发人员需要获得访问批准。自 8 月 1 日起,不再需要此审批流程。Diligence Fuzzing 现在还与智能合约工具包 Foundry 集成,并为想要在花钱之前进行测试的开发人员提供免费版本。
在与 Cointelegraph 的对话中,ConsenSys 安全服务负责人 Liz Daldalian 更详细地解释了该工具的工作原理。开发人员可以使用一种名为“Scribble”的机器语言来注释他们的合约,该语言也是由 ConsenSys 开发的。一旦他们这样做,注释将被模糊测试工具理解。该工具产生“意外”输入,以测试合约是否可以被迫产生意外行为。
ConsenSys 安全研究员 Gonçalo Sá 表示,该工具不是“黑盒模糊器”。它不会产生完全随机的数据。相反,它是一个“灰盒模糊器”,它利用对程序当前状态的理解来减少生成的数据类型,从而提高工具的效率。
Sá 发现开发人员最近对模糊测试越来越感兴趣。随着 Foundry 变得越来越流行,开发人员已经开始使用其默认的黑盒模糊器,并且已经习惯了使用它。另一方面,一些用户想要一个比默认模糊器更复杂的模糊器,他认为 Diligence Fuzzer 可以提供这种功能。他说:
“人们现在正试图利用他们手中不同类型的安全工具的力量。Foundry [有]一个非常易于使用的黑盒模糊器。[...] 所以人们现在开始了解模糊测试的力量。[...]他们正在寻找更强大的工具。”
智能合约黑客攻击继续给用户带来问题。不包括拉扯和网络钓鱼诈骗, 2023 年上半年Web3 安全漏洞造成的损失超过 4.7143 亿美元。Daldalian 警告说,Diligence Fuzzing 并不是消除所有智能合约黑客攻击的“灵丹妙药”。然而,她认为,它是“开发人员可以用来编写更安全的智能合约的工具库中的一个工具”,它至少可以让 Web3 社区走上一条尽量减少这些攻击造成的损失的道路。
本文由某某资讯网发布,不代表某某资讯网立场,转载联系作者并注明出处:https://www.yuhuajia.cn/zixun/46bgven7.html