ConsenSys випустила інструмент для тестування вразливостей смарт-контрактів

Компанія ConsenSys, яка займається блокчейн-технологіями, оприлюднила свій інструмент “Diligence Fuzzing” для тестування смарт-контрактів, згідно з повідомленням від 1 серпня. Новий інструмент генерує “випадкові і недійсні точки даних”, щоб знайти недоліки безпеки в контрактах до їх запуску.

У 2022 році через хакерські атаки на децентралізовані фінанси було втрачено понад 2,8 мільярда доларів. За даними ConsenSys, ці втрати змушують розробників використовувати більш складні інструменти тестування, які допомагають знайти вразливості до того, як це зроблять зловмисники.

Новий інструмент раніше був доступний у закритій бета-версії, яка вимагала від розробників схвалення для доступу до нього. З 1 серпня цей процес більше не є обов’язковим. Diligence Fuzzing також інтегрований з набором інструментів для смарт-контрактів Foundry і має безкоштовну версію для розробників, які хочуть спробувати його, перш ніж купувати.

Ліз Далдалян, керівник служби безпеки ConsenSys, пояснила, як працює цей інструмент. Розробники можуть коментувати свої контракти за допомогою машинної мови під назвою “Scribble”, також розробленої ConsenSys. Після того, як вони це роблять, анотації розуміються інструментом фаззингу. Інструмент видає “неочікувані” вхідні дані, щоб перевірити, чи можна змусити контракт виконати непередбачені дії.

Дослідник безпеки ConsenSys Гонсало Са (Gonçalo Sá) каже, що цей інструмент не є фаззером “чорної скриньки”. Він не видає абсолютно випадкові дані. Натомість це фаззер “сірої скриньки”, який використовує розуміння поточного стану програми для зменшення типів даних, які вона продукує, що підвищує ефективність інструменту.

Останнім часом розробники все більше цікавляться фаззингом. Оскільки Foundry став більш популярним, розробники почали використовувати стандартний фаззер “чорної скриньки”, і їм стало комфортно ним користуватися. З іншого боку, деякі користувачі хочуть більш досконалий фаззер, ніж за замовчуванням, який, за його словами, може надати Diligence Fuzzer. Він сказав:

“Зараз люди намагаються використовувати можливості різних типів інструментів безпеки, які є в їхніх руках. А у Foundry є дуже простий у використанні фаззер “чорної скриньки”. Тож люди починають розуміти силу фаззингу. […] І вони шукають більш потужні інструменти”.

Зломи смарт-контрактів продовжують залишатися проблемою для користувачів. Якщо не враховувати rugpull-атаки і фішингові шахрайства, то в першій половині 2023 року через уразливості в системі безпеки Web3 було втрачено понад 471,43 мільйона доларів. Далдалян застерегла, що Diligence Fuzzing не є “срібною кулею”, яка усуне всі зломи смарт-контрактів. Однак вона стверджує, що це “один з інструментів в арсеналі, який розробники можуть використовувати для написання більш безпечних смарт-контрактів”, який може принаймні поставити спільноту Web3 на шлях мінімізації втрат від цих атак.