Fuzzland 是一家隐形模式初创公司,其利用 AI x(模糊测试 + 形式验证)来帮助构建者、审计员和交易者自动即时分析智能合约。

作为 Fuzzland 的联合创始人之一,Chaofan Shou 在加州大学圣巴巴拉分校只花了两年的时间,获得了计算机科学学士学位。2020 年至 2021 年期间,合约和区块链安全并不成熟,Chaofan Shou 参与了一些错误赏金计划,并获得 170 万美元的赏金,其中也包括一些锁定的代币。2022 年,Chaofan Shou 进入加州伯克利分校攻读博士研究生,加入 Sky Computing Lab,师从 Koushik Sen 教授,其研究方向为程序分析,分布式系统,和区块链安全。读博前夕,Chaofan Shou 短期担任区块链安全初创公司 Veridise 软件工程师,领导了几种智能合约和区块链自动化测试工具的开发。在此之前 Chaofan Shou 还作为 Salesforce 的安全工程师,为 SAST 解决方案、内部网络扫描服务和数据管道做出贡献。

目前,Web3.0 领域被黑客攻击的资产数量逐年增加,DeFi 安全现状备受业界关注,也正因此诞生了不少安全审计产品。2 月 9 日,FuzzLand 宣布完成 300 万美元种子轮融资,本轮融资由 1kx 领投,HashKey Capital、SNZ、Panga Capital 参投。

Fuzzland 在安全审计上有什么特别之处?合约安全审计领域的未来将如何发展?带着这些疑问,BlockBeats 采访了联合创始人之一 Chaofan Shou,以下为采访原文整理:

「审计并非目标,提供链上实时分析才是重点」

Chaofan Shou 与好友 Jeff 及其博士导师 Koushik 一起创立了 Fuzzland。在 Fuzzland 的技术团队中,三分之一成员是 Chaofan Shou 大学时候一起参加 CTF 时认识的朋友,他们参加过 DEFCON 等比赛的决赛并且在多次全球比赛名列前茅,而且各个都在 Chromium,Linux,Windows 等之中挖到过重量级的漏洞。

Fuzzland 的安全审计流程使用了 AI 作为辅助工具,Blaz 是 Fuzzland 目前推出的主要产品,其包含了资金流向、静态分析以及动态分析三个 API。在 Blaz 的基础之上,Fuzzland 推出的 Blaz+能够为智能合约提供实时且持续性的形式验证,这个产品不仅关注链上实时动态,还对社交媒体上的漏洞与攻击舆情进行监测,特别是在 2023 年年底,监测到了 Twitter 用户 @rabbit_2333 提到的漏洞。

在深入研究后,Fuzzland 将其判定为高危漏洞,该漏洞允许黑客通过仅点击一个链接就能获得用户账户的完全访问权限。这意味着黑客可以进行推文、转推、点赞、屏蔽等操作,但无法更改用户密码。

模糊测试和形式验证结合

BlockBeats:Crypto 已经有很多安全审计产品、团队以及公司,为什么还要创建 Fuzzland?

Chaofan Shou:Fuzzland 的重心并不在做审计,而是提供链上实时分析的自动化软件和服务。我们通过自动化、形式化验证与模糊测试赋能交易员与审计人员,以及预测是否某个交易后可能会发生攻击并予以防御。

BlockBeats:我们似乎能从公司的名字中看出,团队对模糊测试技术非常看重,取名「Fuzzland」是何寓意呢?

Chaofan Shou:Fuzzland 最初的产品是一个用于智能合约的模糊测试工具,现在的产品范围已经扩展到包括形式化验证和静态分析的综合系统,打造出市场上独一无二的混合模糊测试产品套件。我们的终极愿景是将 Fuzzland 打造成一个基础设施公司,使所有软件的模糊测试都能在我们的平台 Fuzz+Land 上进行。

Fuzzland 最初的产品是一个智能合约合约的模糊测试工具,因此起名为 Fuzzland,但是现在除了模糊测试,我们还做了形式化验证,静态分析等系统。

BlockBeats:当前的加密领域,模糊测试和形式化验证也是大多数安全公司的常用审计方式,Fuzzland 团队是否在使用这两项技术的过程中,与其他审计团队的不同之处主要就是对 AI 的结合与运用吗?

Chaofan Shou:Fuzzland 是将模糊测试和形式化验证系统无缝结合的混合模糊测试的技术公司。我们有提供该系统给现有的审计公司,帮助他们完成审计。我们不断的在模糊测试与形式化验证算法上进行创新,融合学术界的最新成果,为目前市场上测试覆盖率最高速度最快的工具。我们同时还采用大语言模型 LLM 以降低模糊测试与形式化验证的门槛,替代繁琐的需要人工的步骤,让其使用起来更简单。

BlockBeats:能否向我们简要阐释一下,团队如何使用 AI 辅助 Fuzzland 的安全审计流程?

Chaofan Shou:模糊测试与形式化验证的门槛主要在配置项目与 Invariants 开发,我们采用 LLM 帮助用户通过自然语言交互以及文档配置项目与定义 Invariants。同时,我们还训练了多个机器学习模型,用于加速优化模糊测试与形式化验证流程。

资金流向+静态分析+动态分析

BlockBeats:Blaz 是 Fuzzland 目前推出的主要产品,包含了资金流向、静态分析以及动态分析三个 API,团队如此设计背后的核心逻辑是什么?以及用户是否可以将三个 API 单独拆分使用?

Chaofan Shou:这三个 API,或者其组合,可以适用于不同的场景。比如对交易员来说,代币创建者的资金流向以及代币合约静态分析可以帮助交易员快速判断一个新创建的代币是否值得购入。对于 MEV bots 来说,动态分析可以帮助它们寻找不常见的套利机会,并且给出利用该机会的具体交易。

BlockBeats:有趣的一点是,我们能在介绍中看到,动态分析 API 还有发现可盈利交易的功能。另外在资金流向和静态分析 API 的介绍中也能看出,有许多针对交易者和投资者的功能。这是否意味着 Blaz 是一个更加 To C 而非 To B 的产品?

Chaofan Shou:对的,Blaz 将会是一个更趋向于 To C 的产品,服务于审计人员,交易员,投资者等。

BlockBeats:与 Blaz 相比,Blaz+能够为智能合约提供实时且持续性的形式验证,在 Fuzzland 团队成功检测到 Twitter 的安全漏洞过程中,Blaz+的相关功能/技术是否起到了一定的帮助作用?

Chaofan Shou:Blaz+不仅在链上会进行实时形式化验证与模糊测试,还会实时分析 Twitter 等社交媒体中的舆情信息。Blaz+帮助我们监测到了 Twitter 用户 @rabbit_2333 发推提到的 Twitter 不予修复的漏洞,在之后我们的研究下将这一发现变为了一个高危漏洞。

BlockBeats:读者们对 Fuzzland 团队如何发现 X 漏洞非常好奇,能否向我们描述一下事件的经过?

Chaofan Shou:去年年底,我们看到 @rabbit_2333 发推提到的漏洞后,发现这个漏洞只能在 Twitter 一个子域名上弹窗,除了钓鱼外并不能造成很大影响。后来,我和几位原来做 web2 安全的同事下班后深挖了一下,发现了 Twitter 另外几个低危漏洞,但是将这几个漏洞串联利用起来后,可以构建出一个攻击,受害者只要在登陆了 Twitter 的浏览器点下链接,或者访问一个插入了这个链接的网站,我们就能完全控制受害者的账号,读取邮箱手机号等,或者发推,点赞,关注,授权别的网站。

基于 AI 的合约审计仍是「蓝海」

目前,审计公司使用人工审计员仍然具有挑战,随着软件系统的复杂性不断增加以及需要分析的数据量不断增加,手动审核变得越来越耗时且容易出错,招聘和培训合格人员的成本也逐渐高昂。

而自动化审计解决方案虽然能够提供分析的完整性和合理性,但基于高计算能力以及产生高运行时间的开销,许多传统的自动化审核工具为了更快的响应而牺牲了自动化优势。但是 Chaofan Shou 认为,目前自动化合约安全服务以及链上攻击防火墙等还在初期阶段。Fuzzland 正在做一些新的尝试,通过分布式计算方式,引入形式化验证、静态分析、模糊测试工具的组合,来解决算力和自动化的问题。并基于 AI 的自然语言调整参数,以降低产品使用者的技术门槛。

此外,以太坊联合创始人 Vitalik Buterin 也于社交平台发文称,「我对一种应用人工智能的技术感到兴奋,那就是 AI 辅助的代码形式验证和漏洞发现。目前以太坊最大的技术风险可能是代码中的漏洞,任何能够显著改变这种情况的技术都将是了不起的。」

BlockBeats:除了 Blaz,Fuzzland 在未来还考虑推出那些产品和功能?是否考虑涉足 MEV 防护或隐私 RPC 等最近颇受关注的领域?

Chaofan Shou:我们会在近期推出基于 AI 的 Web2 模糊测试平台,帮助项目在前端与后端代码中寻找漏洞。我们暂时不考虑涉足 MEV 防护或隐私 RPC。

BlockBeats:如今,加密行业的安全审计工具越来越多,覆盖的技术和安全范围也越来越广,在您和 Fuzzland 团队看来,合约安全是否已经变成「红海赛道」?该领域还有哪些留给创业者的空白?

Chaofan Shou:基于人工的合约审计确实已经成为红海赛道,但是人工审计通常并不能找到所有的漏洞,同时需要项目方等待大量的时间。目前,自动化合约安全服务以及链上攻击防火墙等还在初期阶段,这些是留给创业者的空白,Fuzzland 正在这一领域做了一些新的尝试,推出了 Blaz 和 Blaz+两个产品,从目前效果来看,非常不错。

BlockBeats:加密市场近期迎来了新一轮牛市,行业里多了许多新人。如果您只能给刚加入 Crypto 的用户三条安全建议,会是哪三条呢?

Chaofan Shou:如果完全不熟悉 Web3 的话,可以看一下余弦大佬的区块链黑暗森林自救手册。

不要盲目的相信单一公司的审计,如果要将大量资金放入一个 DeFi,首先确保合约被多个知名审计公司审计,并且有部署实时链上防御手段。

尽量使用硬件钱包,推荐安装如 Webacy,Wallet Guard,Fire 等钱包安全工具