Laut einer Ankündigung vom 1. August hat das Blockchain-Technologieunternehmen ConsenSys sein „Diligence Fuzzing“-Tool zum Testen intelligenter Verträge öffentlich veröffentlicht. Das neue Tool erzeugt „zufällige und ungültige Datenpunkte“, um Schwachstellen in Verträgen zu finden, bevor diese in Kraft treten.
Im Jahr 2022 gingen durch dezentralisierte Finanz-Hacks über 2,8 Milliarden US-Dollar verloren. Laut ConsenSys veranlassen diese Verluste Entwickler dazu, ausgefeiltere Testtools einzusetzen, um Schwachstellen zu finden, bevor es Angreifer tun.
Das neue Tool war früher in einer geschlossenen Betaversion verfügbar, für deren Zugriff Entwickler eine Genehmigung einholen mussten. Dieser Genehmigungsprozess ist ab dem 1. August nicht mehr erforderlich. Diligence Fuzzing ist jetzt auch in das Smart Contract Toolkit Foundry integriert und bietet eine kostenlose Version für Entwickler, die es testen möchten, bevor sie Geld ausgeben.
Verwandt: Das Krypto-Zahlungsgateway CoinsPaid verdächtigt die Lazarus Group eines 37-Millionen-Dollar-Hacks
In einem Gespräch mit Cointelegraph erklärte Liz Daldalian, Leiterin der Sicherheitsdienste von ConsenSys, die Funktionsweise des Tools im Detail. Entwickler können ihre Verträge mit einer Maschinensprache namens „Scribble“ kommentieren, die ebenfalls von ConsenSys entwickelt wurde. Sobald sie dies getan haben, werden die Anmerkungen vom Fuzzing-Tool verstanden. Das Tool erzeugt „unerwartete“ Eingaben, um zu testen, ob der Vertrag zu unbeabsichtigten Aktionen gezwungen werden kann.
ConsenSys-Sicherheitsforscher Gonçalo Sá sagte, das Tool sei kein „Black-Box-Fuzzer“. Es werden keine völlig zufälligen Daten erzeugt. Stattdessen handelt es sich um einen „Grey-Box-Fuzzer“, der ein Verständnis des aktuellen Status des Programms nutzt, um die Art der erzeugten Daten zu reduzieren und so die Effizienz des Tools zu steigern.
Sá hat gesehen, dass sich Entwickler in letzter Zeit immer mehr für Fuzzing interessieren. Da Foundry immer beliebter wird, haben Entwickler begonnen, den Standard-Blackbox-Fuzzer zu verwenden, und haben sich daran gewöhnt. Andererseits wünschen sich einige Benutzer einen ausgefeilteren Fuzzer als den Standard-Fuzzer, den Diligence Fuzzer seiner Meinung nach bieten könnte. Er sagte:
„Die Menschen versuchen jetzt, die Leistungsfähigkeit der verschiedenen Arten von Sicherheitstools zu nutzen, die ihnen zur Verfügung stehen. Und Gießerei [has] Ein Black-Box-Fuzzer, der wirklich einfach zu bedienen ist. […] Jetzt beginnen die Menschen die Kraft des Fuzzings zu verstehen. […] Und sie suchen nach leistungsfähigeren Werkzeugen.“
Smart-Contract-Hacks stellen weiterhin ein Problem für Benutzer dar. Ohne Berücksichtigung von Rug Pulls und Phishing-Betrügereien gingen im ersten Halbjahr 2023 über 471,43 Millionen US-Dollar durch Web3-Sicherheitslücken verloren. Daldalian warnte, dass Diligence Fuzzing keine „Wunderwaffe“ sei, die alle Smart-Contract-Hacks beseitigen würde. Sie argumentierte jedoch, dass es sich um „ein Tool in einem Arsenal handelt, das Entwickler verwenden können, um sicherere Smart Contracts zu schreiben“, das die Web3-Community zumindest auf den Weg bringen kann, Verluste durch diese Angriffe zu minimieren.