スマート コントラクトのテストは非常に重要です。なぜ？スマート コントラクトは一般的に、本番環境、 、 、多くの場合、 伴います。短編？スマート コントラクトを使用すると、失敗したくありません。たくさんテストし、頻繁にテストし、徹底的にテストする必要があります。スマート コントラクト テストには、ユニット テスト、統合テスト、自動テストなど、通常の疑わしいものすべてが含まれますが、ファジングも強くお勧めします。これは、何が起こるかを確認するためだけにランダムな入力を大量にコードにぶつける方法です。 公開環境 ハッカーのターゲットでは 不変であり 重大な経済的影響を テスト方法としてのファジングとは何か、そして ConsenSys  などのツールを使用してソフトウェア テスト ワークフローにファジングを簡単に組み込む方法を見てみましょう。 使用してチュートリアルを進め、その方法を確認します。 Diligence Fuzzing サンプルの defi スマート コンタクトを ファジング テストとは何ですか? なぜそれを使用するのですか? (またはファジング テスト) には、予期しない動作を引き起こし、脆弱性を検出するために、スマート コントラクトに対して何百万もの無効で予期しない (半) ランダムなデータを送信することが含まれます。これは、思いもよらないエッジ ケースやシナリオをテストするための、高速で効率的な力ずくの方法です。他のテスト フローと監査を補完します。 ファジング テスト ファジングは、従来のフルスタック開発でしばらく使用されていましたが、web3 のスマート コントラクト テストにファジングを適用できる新しいクラスのツールが登場しました。ファジング ツールには、オープン ソースの や があります。 Echidna MythX など ただし、この記事では、サービスとしてファジングを提供する について詳しく説明します。これは、非常にクールで簡単なファジング方法です。 Diligence Fuzzing  Diligence Fuzzing を使用するには、  を使用してスマート コントラクトに注釈を付けます。基本的に、コード内で Scribble アノテーションを使用して、その関数に期待される出力のタイプをファザーに伝えます。 Scribble 次のようになります。   /// #invariant {:msg "balances are in sync"} unchecked_sum(_balances) == _totalSupply; スマート コントラクト コードを送信する Web UI からファザーを呼び出します。実行すると、約 10 分後に、見つかった問題、問題の場所、カバレッジ % などを含むレポートが表示されます。  これは、いくつかのエッジ ケースをチェックするための簡単で強力な方法です。  DeFi スマート コントラクトのテスト 立ち上げたい新しい DeFi プロトコルと対応するトークンがあるとします。 DeFi は最先端の金融であり、書くのが楽しく、バグがないことが重要です。 DeFi スマート コントラクトには、多くの場合、数百万 (またはそれ以上) のユーザー資金が含まれます。そのため、スマート コントラクトが可能な限り徹底的にテスト (および監査) されていることを確認したいと考えています。 重要な注意: このコードには、意図的に脆弱性が含まれています。これは、ファジングがこれらの間違いをどのように検出できるかを示すためです。このコードを実際に使用しないでください。 始めましょう。  Diligence Fuzzing (FaaS) を使用した例 ステップ 1: Diligence アカウントを設定します。 まず、Diligence アカウントが必要です。 にサインアップしてください。 10 時間のファジングを無料で試すことができます。 ディリジェンス ステップ 2: 新しい API キーを作成します。 右上のアカウント名をクリックし、「新しい API キーを作成」をクリックして、名前を付けます。この API キーにより、FaaS に接続できます。  ステップ 3: ローカル環境をセットアップします。 次のリポジトリをクローンします。   https://github.com/ConsenSys/scribble-exercise-1.git コマンド ラインから、プロジェクトのルート フォルダーとなるリポジトリ フォルダーに移動します。マシンで必要な場合は、Python venv をアクティブにします。次に、次のコマンドを実行して、プロジェクトの依存関係をインストールします。   $ npm i -g eth-scribble ganache truffle $ pip3 install diligence-fuzzing ステップ 4: API キーを入力します。 キーの値に Diligence アカウントの API キーを使用するように ファイルを編集します。 .fuzz.yml 結果のファイルは次のようになります。   .fuzz.yml fuzz: # Tell the CLI where to find the compiled contracts and compilation artifacts build_directory: build/contracts ... campaign_name_prefix: "ERC20 campaign" # Point to your ganache node which holds the seed rpc_url: "http://localhost:8545" key: "DILIGENCE API KEY GOES HERE" ... ステップ 5: 契約書を書き、注釈を付けます。 では、  でスマート コントラクトを確認してみましょう。ここに、新しい DeFi プロトコル用の脆弱なトークン (名前の通り!) があります。可能な限りテストする必要があることは明らかです。それでは、ファザーがうまくキャッチできるように、Scribble を使用してチェックを追加しましょう。 contracts/vulnerableERC20.sol コントラクト定義の上に、次を追加します。   /// #invariant "balances are in sync" unchecked_sum(_balances) == _totalSupply; 伝達関数の上に、以下を追加します。   /// #if_succeeds msg.sender != _to ==> _balances[_to] == old(_balances[_to]) + _value; /// #if_succeeds msg.sender != _to ==> _balances[msg.sender] == old(_balances[msg.sender]) - _value; /// #if_succeeds msg.sender == _to ==> _balances[msg.sender] == old(_balances[_to]); /// #if_succeeds old(_balances[msg.sender]) >= _value; それでは、ファジング テスターが何かをキャッチするかどうか見てみましょう。コントラクトに追加した注釈に注目して、テスト担当者が予想されることを理解できるようにします。また、構成で、テスターは最大 10 分間実行するように設定されているため、すべてをキャッチできない可能性があることに注意してください。 ステップ6：ファズアラウンド。 これで、テストの準備が整いました。プロジェクトのルート フォルダーから を実行して make ファイルを呼び出します。これにより、すべてがコンパイル、ビルドされ、FaaS に送信されます。 make fuzz ステップ 7: 結果を確認します。 ダッシュボードに戻ると、以下のようなものが表示されます。キャンペーンが開始されるまで数秒待ちます。  生成が完了すると、次のようなものが表示されます。 コード カバレッジも表示されます。  数分後、失敗が表示されます。  プロパティをクリックすると、違反が表示されます。はい、バグがあります！行の場所をクリックすると、潜在的なコードの脆弱性の詳細が表示されます。  ここで終わりますが、ファザーを実行し続けると、さらに多くの情報が見つかる可能性があります。 結論 ファジングは、ソフトウェアの開発およびテスト プロセスにおいて重要なステップとなる可能性があります。他の方法では見過ごされる可能性のある潜在的な脆弱性を特定するのに役立ちます。それを使用することで、一般的な落とし穴や課題を認識し、理解し始めます。  などのツールを利用して、より優れたスマート コントラクトを作成し、より優れた開発者になりましょう! Diligence Fuzzing

The writer is smart, but don't just like, take their word for it. #DoYourOwnResearch before making any investment decisions or decisions regarding you health or security. (Do not regard any of this content as professional investment advice, or health advice)

The code in this story is for educational purposes. The readers are solely responsible for whatever they build with it.

2022 - HackerNoon Contributor of the Year - Engineering

2022 - HackerNoon Contributor of the Year - Heroku

2022 - HackerNoon Contributor of the Year - Jobs

2022 - HackerNoon Contributor of the Year - Kubernetes

2022 - HackerNoon Contributor of the Year - Npm

2022 - No No No Nodejs

Nominated for 2022 - HackerNoon Contributor of the Year - Heroku

Nominated for 2022 - No No No Nodejs

Nominated for 2022 - HackerNoon Contributor of the Year - Jobs

Nominated for 2022 - HackerNoon Contributor of the Year - Npm

Nominated for 2022 - HackerNoon Contributor of the Year - Kubernetes

Nominated for 2022 - HackerNoon Contributor of the Year - Engineering

このオーディオは、ストーリーの元の言語で制作されています。

ファジーアラウンド: ランダム入力によるスマートコントラクトテスト

About Author

コメント

ラベル

この記事は

Related Stories

海を航海する: データレイクを使用した本番環境レベルの RAG アプリケーションの開発

クラウド移行を成功させるための完全ガイド: 戦略とベストプラクティス

タップして稼ぐ：テレグラムはソラナより先に次の100億人の暗号通貨ユーザーを獲得する可能性がある

目に見えない層: ユーザーインタビューがかけがえのない資産である理由

海を航海する: データレイクを使用した本番環境レベルの RAG アプリケーションの開発

クラウド移行を成功させるための完全ガイド: 戦略とベストプラクティス

タップして稼ぐ：テレグラムはソラナより先に次の100億人の暗号通貨ユーザーを獲得する可能性がある

目に見えない層: ユーザーインタビューがかけがえのない資産である理由

Light-Mode

Classic

Newspaper

Minty

Dark-Mode

Neon Noir

Minty

HN StartUps

ファジーアラウンド: ランダム入力によるスマート コントラクト テスト

About Author

コメント

ラベル

この記事は

Related Stories

Light-Mode

Classic

Newspaper

Minty

Dark-Mode

Neon Noir

Minty

HN StartUps

ファジーアラウンド: ランダム入力によるスマートコントラクトテスト