ConsenSys 发布模糊测试工具来测试智能合约漏洞

根据 8 月 1 日的公告，区块链技术公司 ConsenSys 公开发布了用于智能合约测试的“Diligence Fuzzing”工具。新工具会生成“随机且无效的数据点”，以便在合约发布之前发现合约中的漏洞。

2022 年，去中心化金融黑客攻击造成了超过 28 亿美元的损失。ConsenSys 表示，这些损失促使开发人员采用更复杂的测试工具，以帮助在攻击者之前发现漏洞。

该新工具过去以封闭测试版本提供，开发人员需要获得访问批准。自 8 月 1 日起，不再需要此审批流程。Diligence Fuzzing 现在还与智能合约工具包 Foundry 集成，并为想要在花钱之前进行测试的开发人员提供免费版本。

在与 Cointelegraph 的对话中，ConsenSys 安全服务负责人 Liz Daldalian 更详细地解释了该工具的工作原理。开发人员可以使用一种名为“Scribble”的机器语言来注释他们的合约，该语言也是由 ConsenSys 开发的。一旦他们这样做，注释将被模糊测试工具理解。该工具产生“意外”输入，以测试合约是否可以被迫产生意外行为。

ConsenSys 安全研究员 Gonçalo Sá 表示，该工具不是“黑盒模糊器”。它不会产生完全随机的数据。相反，它是一个“灰盒模糊器”，它利用对程序当前状态的理解来减少生成的数据类型，从而提高工具的效率。

Sá 发现开发人员最近对模糊测试越来越感兴趣。随着 Foundry 变得越来越流行，开发人员已经开始使用其默认的黑盒模糊器，并且已经习惯了使用它。另一方面，一些用户想要一个比默认模糊器更复杂的模糊器，他认为 Diligence Fuzzer 可以提供这种功能。他说：

“人们现在正试图利用他们手中不同类型的安全工具的力量。Foundry [有]一个非常易于使用的黑盒模糊器。[...] 所以人们现在开始了解模糊测试的力量。[...]他们正在寻找更强大的工具。”

智能合约黑客攻击继续给用户带来问题。不包括拉扯和网络钓鱼诈骗， 2023 年上半年Web3 安全漏洞造成的损失超过 4.7143 亿美元。Daldalian 警告说，Diligence Fuzzing 并不是消除所有智能合约黑客攻击的“灵丹妙药”。然而，她认为，它是“开发人员可以用来编写更安全的智能合约的工具库中的一个工具”，它至少可以让 Web3 社区走上一条尽量减少这些攻击造成的损失的道路。

本站所有软件信息均由用户上传发布，版权归原著所有。如有侵权/违规内容，敬请来信告知邮箱：764327034@qq.com，我们将及时撤销！转载请注明出处：https://czxurui.com/zx/39458.html