Компания ConsenSys, специализирующаяся на блокчейн-технологиях, выпустила инструмент "Diligence Fuzzing" для тестирования смарт-контрактов, о чем было объявлено 1 августа. Новый инструмент создает "случайные и недостоверные точки данных" для поиска уязвимостей в контрактах до их запуска.
В 2022 году в результате взломов децентрализованных финансовых систем было потеряно более 2,8 млрд. долл. По мнению ConsenSys, эти потери заставляют разработчиков использовать более сложные инструменты тестирования, чтобы найти уязвимости раньше злоумышленников.
Ранее новый инструмент был доступен в закрытой бета-версии, для доступа к которой разработчикам требовалось получить разрешение. С 1 августа этот процесс больше не требуется. Diligence Fuzzing также интегрирован с инструментарием смарт-контрактов Foundry и имеет бесплатную версию для разработчиков, желающих протестировать его, прежде чем тратить деньги.
В беседе с Cointelegraph руководитель службы безопасности компании ConsenSys Лиз Далдалиан более подробно рассказала о том, как работает этот инструмент. Разработчики могут аннотировать свои контракты с помощью машинного языка под названием "Scribble", также разработанного компанией ConsenSys. После этого аннотации будут понятны инструменту fuzzing. Инструмент выдает "неожиданные" входные данные, чтобы проверить, можно ли заставить контракт выполнять непредусмотренные действия.
По словам исследователя безопасности компании ConsenSys Гонсало Са (Gonçalo Sá), инструмент не является "черным ящиком" (black box fuzzer). Он не выдает полностью случайные данные. Вместо этого он представляет собой "серый ящик", который использует понимание текущего состояния программы для уменьшения количества получаемых данных, что повышает эффективность инструмента.
Са заметил, что в последнее время разработчики все больше интересуются фаззингом. С ростом популярности Foundry разработчики начали использовать его стандартный фаззер "черного ящика" и привыкли к его использованию. С другой стороны, некоторые пользователи хотят иметь более сложный фаззер, чем тот, который используется по умолчанию, что, по его мнению, может обеспечить Diligence Fuzzer. Он сказал:
"Сейчас люди пытаются использовать возможности различных инструментов безопасности, которые есть у них в руках. И Foundry [имеет] фаззер "черного ящика", который действительно прост в использовании". [...] Поэтому люди начинают понимать возможности фаззинга. [...] И они ищут более мощные инструменты".
Взломы смарт-контрактов по-прежнему представляют проблему для пользователей. Без учета "ковровых" и фишинговых атак в первом полугодии 2023 года от уязвимостей в системе безопасности Web3 было потеряно более 471,43 млн долл. Далдалиан предупредила, что Diligence Fuzzing не является "серебряной пулей", которая устранит все взломы смарт-контрактов. Однако, по ее мнению, это "один из инструментов в арсенале, который разработчики могут использовать для написания более безопасных смарт-контрактов", что, по крайней мере, может поставить сообщество Web3 на путь минимизации потерь от подобных атак.
Источник