模糊测试

Solana Auditors Bootcamp 是一个为期七周的免费在线课程，旨在教授如何审计 Solana 程序并提高安全实践。课程涵盖高级 Anchor、集成测试、模糊测试和安全最佳实践等内容，参与者还可以通过完成挑战获得认可的 NFT 证书。

这篇文章详细介绍了使用 Trident 进行模糊测试的过程，包括设置 Trident 工作空间、编写模糊测试、以及运行测试与获取结果等步骤。文章涉及了 Rust 代码示例来演示如何初始化程序、处理账户和执行模糊测试，同时指出了潜在的函数缺陷和运行中的错误处理。

该文章提出了一个关于模糊测试以太坊网络 (devp2p) 的项目，旨在通过创建模糊器来发现潜在的漏洞。该项目计划使用 Go 语言，并基于 Geth 客户端修改其 devp2p 实现，以发送恶意消息。目标是测试网络升级和客户端的 devp2p 实现，从而发现可能导致崩溃、内存泄漏等问题，并最终提高以太坊网络的安全性。

Cyfrin 发布了 2025 年 6 月的区块链安全与教育新闻简报，内容涵盖 Updraft 新课程、DeFi 重大漏洞、高级模糊测试见解以及实用的 Web3 安全技巧。

本文介绍了在 Beraborrow 代码库中发现的一个关键漏洞，该漏洞通过模糊测试发现，但在安全竞赛中被遗漏。该漏洞与舍入误差有关，导致每个 Vault 份额的价格意外下降，从而可以触发 Recovery Mode 并清算其他借款人。文章强调了多层安全方法的重要性以及模糊测试在发现此类边缘案例方面的优势。

本文介绍了作者如何构建一个基于属性测试的工具 fuzzing-like-smarter-degen，用于检测智能合约中的漏洞。文章详细讨论了传统的单元测试的局限性，并介绍了模糊测试（fuzzing）的原理及其在智能合约安全检测中的应用。作者还介绍了如何通过假设库（Hypothesis）实现模糊测试，并展示了该工具的运行效果。

本文介绍了 Visual Studio Code 的 Recon 扩展，它简化了不变性测试套件的设置和运行。该扩展提供了一系列工具，包括自动生成测试框架、快速创建处理器、自动生成模拟合约、生成 Echidna/Medusa 报告、生成精简的覆盖率报告，以及生成用于调试的单元测试。

本文作者分享了使用 Certora Verification Language (CVL) 进行智能合约形式化验证的经验，通过将模糊测试中的不变量思想应用于 CVL，解决了之前在模糊测试中发现的真实漏洞的简化版本。文章详细对比了模糊测试与形式化验证的异同，并展示了使用 Certora 解决各种漏洞的实例，强调了 Certora 在漏洞检测方面的有效性和简洁性。

本文探讨了模糊测试在智能合约安全中的重要性，包括无状态模糊测试和有状态模糊测试的基本概念及应用。通过验证不变量，开发者能有效识别潜在漏洞，从而提升智能合约的安全性。文章强调模糊测试并非替代手动审查的灵丹妙药，而是与其他安全措施相结合的必要步骤。

本文总结了智能合约开发中常见的由于开发者疏忽导致的漏洞，例如整数溢出、数组越界访问、重入攻击等。文章列举了多个真实案例，并提供了一个检查清单，帮助开发者和审计人员在开发和审计过程中避免这些低级错误。此外，文章还推荐了Slither、MythX等静态分析工具和Echidna、Foundry-fuzz等模糊测试工具，以帮助开发者在早期发现和修复潜在的漏洞。