ConsenSys lanza una herramienta de “fuzzing” para comprobar vulnerabilidades en contratos inteligentes
La empresa de tecnología Blockchain, ConsenSys, lanzó públicamente su herramienta “Diligence Fuzzing” para pruebas de contratos inteligentes, según un anuncio del 1 de agosto. La nueva herramienta produce “puntos de datos aleatorios e inválidos” para encontrar vulnerabilidades en los contratos antes de su lanzamiento.
En 2022 se perdieron más de USD 2,800 millones en hackeos de finanzas descentralizadas. Según ConsenSys, estas pérdidas están llevando a los desarrolladores a adoptar herramientas de prueba más sofisticadas para ayudar a encontrar vulnerabilidades antes de que lo hagan los atacantes.
La nueva herramienta solía estar disponible en una versión beta cerrada, en la que los desarrolladores necesitaban obtener aprobación para acceder. Este proceso de aprobación ya no es necesario desde el 1 de agosto. Diligence Fuzzing también está ahora integrada con el conjunto de herramientas de contratos inteligentes Foundry y cuenta con una versión gratuita para los desarrolladores que quieran probarla antes de gastar dinero.
En una conversación con Cointelegraph, la jefa de los servicios de seguridad de ConsenSys, Liz Daldalian, explicó con más detalle cómo funciona la herramienta.Los desarrolladores pueden anotar sus contratos utilizando un lenguaje de máquina llamado “Scribble”, también desarrollado por ConsenSys.Una vez hecho esto, las anotaciones serán comprendidas por la herramienta de “fuzzing”. La herramienta produce entradas “inesperadas” para comprobar si se puede forzar el contrato a producir acciones no deseadas.
El investigador de seguridad de ConsenSys; Gonçalo Sá, dijo que la herramienta no es un “black box fuzzer”. No produce datos completamente aleatorios. En su lugar, es un “fuzzer de caja gris” que emplea una comprensión del estado actual del programa para reducir los tipos de datos producidos, aumentando la eficiencia de la herramienta.
Sá ha visto cómo los desarrolladores se han interesado más por el fuzzing recientemente. A medida que Foundry se ha hecho más popular, los desarrolladores han empezado a utilizar su fuzzer de caja negra por defecto y se han acostumbrado a usarlo. Por otro lado, algunos usuarios quieren un fuzzer más sofisticado que el que viene por defecto, algo que, según él, Diligence Fuzzer podría ofrecer. Dijo:
“La gente intenta ahora aprovechar la potencia de los distintos tipos de herramientas de seguridad que tienen en sus manos. Y Foundry [tiene] un fuzzer de caja negra que es realmente fácil de usar.[…] Así que la gente está empezando a entender el poder del fuzzing.[…] Y están buscando herramientas más potentes”.
Los hackeos de contratos inteligentes han seguido suponiendo un problema para los usuarios. Excluyendo los rug pulls y las estafas de phishing, en el primer semestre de 2023 se perdieron más de USD 471.43 millones por vulnerabilidades de seguridad de Web3. Daldalian advirtió que Diligence Fuzzing no es una solución que eliminaría todos los hackeos de contratos inteligentes. Sin embargo, argumentó que es “una herramienta de un arsenal que los desarrolladores pueden utilizar para crear contratos inteligentes más seguros”, lo que al menos puede poner a la comunidad Web3 en el camino de minimizar las pérdidas por estos ataques.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.