區塊鏈技術公司ConsenSys近日推出了其“Diligence Fuzzing”工具,用於測試智能合約的安全性。該工具此前在封閉測試版中可用,現已正式推出,旨在生成隨機和無效的數據點,以識別合約在部署前的漏洞。
由於2022年去中心化金融(DeFi)領域的黑客攻擊造成超過28億美元的損失,開發者們急需更先進的測試工具以進行預防性漏洞檢測。Diligence Fuzzing工具與智能合約工具包Foundry集成,旨在通過提供全面的合約測試手段來解決這一問題。
ConsenSys安全服務負責人Liz Daldalian詳細介紹了該工具的工作原理。開發者可以使用ConsenSys開發的一種機器語言“Scribble”對其合約進行注釋。這些注釋隨後被模糊測試工具解讀,從而生成意外輸入,以評估合約是否會被迫出現意想不到的行為。
ConsenSys安全研究員Gonçalo Sá解釋稱,該工具並不是一種生成完全隨機數據的“黑箱模糊測試器”,而是一種“灰箱模糊測試器”,通過理解程序的當前狀態來縮小生成數據的類型,從而提高效率。
開發者對模糊測試工具的興趣正在增加,特別是在Foundry默認的黑箱模糊測試器越來越受歡迎的背景下。Diligence Fuzzer正致力於滿足那些尋求更複雜和強大測試能力的開發者。雖然該工具不是防止所有智能合約攻擊的終極解決方案,但Daldalian相信,它可以成為開發者工具箱中的有用補充,使他們能夠編寫更安全的智能合約,並可能減輕這些攻擊對Web3社區的影響。
