Probar contratos inteligentes es realmente importante. ¿Por qué? Los contratos inteligentes son generalmente   en producción,   ,   y, a menudo, implican   . ¿La historia corta? Con los contratos inteligentes, no querrás equivocarte. Necesita probar mucho, probar a menudo y probar a fondo. Las pruebas de contratos inteligentes involucran a todos los sospechosos habituales (pruebas unitarias, pruebas de integración, pruebas automatizadas), pero también se recomienda encarecidamente el fuzzing, una forma de bombardear su código con un montón de entradas aleatorias solo para ver qué sucede. inmutables públicos objetivos de piratas informáticos implicaciones financieras significativas  Echemos un vistazo a qué es exactamente el fuzzing como método de prueba y cómo puede incluirlo fácilmente en su flujo de trabajo de prueba de software utilizando herramientas como ConsenSys   . Veremos un tutorial usando un   para ver cómo se hace. Diligence Fuzzing contacto inteligente defi de ejemplo  ¿Qué es la prueba de fuzzing y por qué debería usarla?    (o fuzzing testing) implica el envío de millones de datos no válidos, inesperados y (semi) aleatorios contra un contrato inteligente en un esfuerzo por provocar un comportamiento inesperado y detectar vulnerabilidades. Es una forma rápida, eficiente y de fuerza bruta de probar casos y escenarios extremos en los que quizás no haya pensado. Complementa sus otros flujos de prueba y sus auditorías. Fuzzing testing  Fuzzing ha existido durante un tiempo en el desarrollo tradicional de pila completa, pero está aquí una nueva clase de herramientas que puede aplicar fuzzing a las pruebas de contratos inteligentes en web3. Algunas de las herramientas de fuzzing incluyen   y   de código abierto. Echidna MythX  En este artículo, sin embargo, me sumergiré profundamente en   , que ofrece fuzzing como un servicio, una forma bastante genial y fácil de fuzzing. Diligence Fuzzing  Para usar Diligence Fuzzing, anote sus contratos inteligentes usando   . Básicamente, usas anotaciones Scribble en tu código para decirle al fuzzer qué tipo de salida esperar para esa función. Scribble  Se ve algo como esto:   /// #invariant {:msg "balances are in sync"} unchecked_sum(_balances) == _totalSupply;  Llama al fuzzer desde una interfaz de usuario web donde envía el código de contrato inteligente. Presiona ejecutar y aproximadamente 10 minutos después, obtiene un informe con los problemas encontrados, la ubicación de los problemas, el porcentaje de cobertura y más.   Esta es una manera fácil y poderosa de verificar algunos casos extremos.  Prueba de un contrato inteligente DeFi  Digamos que tenemos un nuevo protocolo DeFi y el token correspondiente que queremos lanzar. DeFi es finanzas de vanguardia, es divertido escribirlo y es fundamental que no tengamos ningún error. Los contratos inteligentes de DeFi a menudo involucran millones (o más) en fondos de usuarios. Por lo tanto, queremos asegurarnos de que nuestros contratos inteligentes se prueben (y auditen) de la manera más exhaustiva posible.  NOTA IMPORTANTE: ¡Este código tiene vulnerabilidades A PROPÓSITO! Es para que podamos mostrar cómo el fuzzing puede detectar estos errores. Por favor, no uses este código para nada.  Empecemos.  Un ejemplo usando Diligence Fuzzing (FaaS)  Paso 1: Configure una cuenta de diligencia.  Primero, necesitamos nuestra cuenta Diligence. Regístrese en   . Obtienes 10 horas de fuzzing gratis para probar cosas. Diligencia  Paso 2: Cree una nueva clave de API.  Haga clic en el nombre de su cuenta en la parte superior derecha, haga clic en "crear nueva clave API" y asígnele un nombre. Esta clave API nos permite conectarnos a la FaaS.   Paso 3: Configure su entorno local.  Clona el siguiente repositorio:   https://github.com/ConsenSys/scribble-exercise-1.git  Desde la línea de comandos, navegue hasta la carpeta del repositorio, que ahora será la carpeta raíz de su proyecto. Si es necesario para su máquina, active un Python venv. Luego, ejecute los siguientes comandos para instalar las dependencias de su proyecto:   $ npm i -g eth-scribble ganache truffle $ pip3 install diligence-fuzzing  Paso 4: Ingrese su clave API.  Edite el archivo   para usar la clave API de su cuenta de Diligence para el valor de la clave. .fuzz.yml  Su archivo resultante debería verse así:   .fuzz.yml fuzz: # Tell the CLI where to find the compiled contracts and compilation artifacts build_directory: build/contracts ... campaign_name_prefix: "ERC20 campaign" # Point to your ganache node which holds the seed rpc_url: "http://localhost:8545" key: "DILIGENCE API KEY GOES HERE" ...  Paso 5: Escriba y anote su contrato.  Ahora veamos nuestro contrato inteligente en   . Aquí tenemos un token vulnerable (¡como se llama!) para nuestro nuevo protocolo DeFi. Claramente necesitamos probarlo tanto como sea posible. Entonces, agreguemos una verificación usando Scribble que, con suerte, el fuzzer detectará. contracts/vulnerableERC20.sol  Encima de la definición del contrato, agregue:   /// #invariant "balances are in sync" unchecked_sum(_balances) == _totalSupply;  Y encima de la función de transferencia, agregue:   /// #if_succeeds msg.sender != _to ==> _balances[_to] == old(_balances[_to]) + _value; /// #if_succeeds msg.sender != _to ==> _balances[msg.sender] == old(_balances[msg.sender]) - _value; /// #if_succeeds msg.sender == _to ==> _balances[msg.sender] == old(_balances[_to]); /// #if_succeeds old(_balances[msg.sender]) >= _value;  Así que ahora veamos si el probador de fuzzing detecta algo. Observe las anotaciones que hemos agregado al contrato para ayudar al probador a comprender lo que esperamos que suceda. Y observe en la configuración que el probador está configurado para ejecutarse durante 10 minutos como máximo, por lo que es posible que no detecte todo.  Paso 6: Diviértete.  ¡Ahora estamos listos para probar! Desde la carpeta raíz del proyecto, ejecute   para llamar al archivo make, que compilará, construirá y enviará todo a FaaS. make fuzz  Paso 7: Ver los resultados.  Vuelva a su tablero y debería ver algo similar a lo que se muestra a continuación. Espere varios segundos para que comience la campaña.   Una vez que termine de generarse, debería ver algo similar a lo que se muestra a continuación:  ¡Incluso vemos cobertura de código!   ¡Y después de unos minutos, vemos una falla!   Al hacer clic en las propiedades, vemos cualquier infracción. ¡Y sí, tenemos un error! Haga clic en la ubicación de la línea para ver los detalles de nuestras posibles vulnerabilidades de código.   Nos detendremos allí, pero si dejas que el fuzzer siga funcionando, ¡podría encontrar más!  Conclusión  Fuzzing puede ser un paso crucial en su proceso de desarrollo y prueba de software. Le ayuda a identificar posibles vulnerabilidades que, de lo contrario, podrían pasar desapercibidas. Al usarlo, comienza a reconocer y comprender las trampas y los desafíos comunes. ¡Aproveche herramientas como   , escriba mejores contratos inteligentes y conviértase en un mejor desarrollador! Diligence Fuzzing

The writer is smart, but don't just like, take their word for it. #DoYourOwnResearch before making any investment decisions or decisions regarding you health or security. (Do not regard any of this content as professional investment advice, or health advice)

The code in this story is for educational purposes. The readers are solely responsible for whatever they build with it.

Fuzzing Around: prueba de contrato inteligente a través de entradas aleatorias

About Author

COMENTARIOS

ETIQUETAS

ESTE ARTÍCULO FUE PRESENTADO EN

Related Stories

El modelo Bitcoin UTXO, impulsando un ecosistema único

Liberando el poder de la IA. Una revisión sistemática de técnicas de vanguardia: resumen e introducción

Crecimiento de las criptomonedas: creación de perfiles de usuarios eficaces

¿Quieres ganar un concurso de redacción de HackerNoon? Esto es lo que recomiendan los ganadores del concurso #crypto-api

El modelo Bitcoin UTXO, impulsando un ecosistema único

Liberando el poder de la IA. Una revisión sistemática de técnicas de vanguardia: resumen e introducción

Crecimiento de las criptomonedas: creación de perfiles de usuarios eficaces

¿Quieres ganar un concurso de redacción de HackerNoon? Esto es lo que recomiendan los ganadores del concurso #crypto-api

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps