Vi har lavet copy-paste jokes i årevis. Kan du huske alle memerne i CTRL + C og CTRL + V? Nå, de er kommet for at hjemsøge os, fordi vi har brugt dem til det forkerte formål.
Specifikt for IT-branchen er kopiering og indsættelse en gammel og almindelig form for genbrug af software. De fleste mennesker gør det for at spare tid og kræfter, andre bruger det, fordi de ikke vil bruge tid på at gøre det selv, begge møder konsekvenserne til sidst.
Ud fra en overflod af ulemper er den mest fremtrædende at duplikere fejl og sikkerhedssårbarheder i hele systemet, når du kopierer en eksisterende kode. Hvorvidt praksis med at kopiere og indsætte en kode skal tillades eller ej, kan diskuteres på grund af dens fordele og ulemper, men det faktum, vi alle kan blive enige om, er, at fejl introduceret af en umodificeret kopieret kode kan føre til alvorlige situationer. Indsatsen er endnu højere, når det kommer til krypto- og DeFi-økosystemet.
DeFi er et sammenfiltret rum. Det er gratis for alle, ikke kun med hensyn til adgang, men også med hensyn til teknologiimplementering. De fleste af DeFi-protokollerne og ideerne er open source, så alle kan hjælpe, men på grund af dette er det blevet et tveægget sværd. Den ene side af lejren hjælper DeFi-projekterne med at blive bedre, mens den anden side kopierer projekterne og koden for at udvikle deres egen løsning.
Hvad gjorde Apple til en succesfuld virksomhed? Steve Jobs vidste, at det at male bagsiden af hegnet er lige så vigtigt som at male fronten, selvom ingen andre vil se det. Ikke kun kvaliteten, men også det unikke spiller en stor rolle for at skabe en loyal fanskare.
Men selv ud over unikhedsfaktoren er det, som DeFi-rummet ikke har indset, at koden, de kopierer, ikke i sig selv er komplet. Hver DeFi-protokol udvikler sig hurtigt og udforsker sig selv. Derfor vil enhver protokol derude muligvis opdage nogle nye fejl. Selvom koden er godt revideret, kan nye fejl komme frem, og en protokol kan kun sikres mod sådanne fejl, hvis den har det originale koncept implementeret af et kerneteam.
Farerne ved copy-paste i DeFi
Især for DeFi-pladsen kan en kopieret kode føre til store økonomiske tab. Derudover er de fleste copy-paste af dårlig kvalitet på grund af den begrænsede viden om den person, der kopierer, hvilket fører til spild af tid, uønskede ændringer og vigtigst af alt, hackerangreb.
For nogen tid siden blev DeFi-industrien ramt af nyheder om, at Binance Smart Chain DeFi-protokollen Pancake Bunny er blevet udnyttet ved et lynlånsangreb, som et resultat, mentes samfundet at have stået over for et tab på 1 milliard dollars.
Før du vælger DeFi-produktet, er det meget nødvendigt at kontrollere kodens kvalitet og unikke karakter. Et blik af en professionel i dette rum kan nemt identificere, om koden er kopieret eller ej.
Det er meget vigtigt at forstå, at ved at kopiere en kode, kopierer udviklerne ikke kun dataene, men kopierer også fejl og sårbarheder. Når programmører forsøger at kopiere koden, kan der desuden opstå en subtil semantik. Det er ingen overraskelse, at DeFI-industrien stod over for så mange hackerangreb, hvoraf de fleste var vellykkede. Siden 2019, hackerangreb har forårsaget et tab på omkring 285 millioner dollars.
Kilde: AtlasVPN
Derfor er den første lektie lært at "altid tjekke koden". Selvom du er produktejer, skal du tjekke den kode, der udvikles af dit team.
Forewarned er forearmed - hvis du ved, hvad du leder efter, kan du mindske chancerne for, at svindlere drager fordel af dit produkt. En af mange gode ting ved DeFi-fællesskabet er, at selvom du ikke ved, hvordan man koder, har projektet en åben kode omkring sig, og hvis folk finder det interessant, vil samfundet helt sikkert udføre forskning og dele resultaterne med resten af folket.
De fleste udviklere er enige om, at kopiering og indsættelse af koder generelt er en dårlig praksis. Det er almindeligt, fordi det vil tage tid, kræfter og penge at ændre koden eller lave en ny.
Dette betyder ikke nødvendigvis, at genbrug af kode er dårligt. En kode kan genbruges og bør genbruges, hvor det er passende, fordi det sparer tid og kræfter. Denne kode skal dog revideres på en professionel måde efter ændringer.
Grunde til at undgå copy-paste i DeFi
Nævnt nedenfor er nogle flere grunde til, hvorfor kopiering bør undgås i DeFi-rummet:
Dårlig genbrug
Hver kode har sine egne afhængigheder. Selvom de er generiske, bliver versionen af afhængighederne, bibliotekerne, sprogene og selve koden ved med at opdatere. Det betyder, at selvom du kopierer den seneste kode, vil genbrugen være dårlig, uanset hvor god du er til at kopiere.
At arve sårbarhederne
Der er altid to sider af en mønt. Hvis du vil arve overskuddet af et projekt, skal du også arve tabene. Det mest almindelige problem med at kopiere en kode er at kopiere problemerne i den originale kode. Det værste er, at den kopierede kode er modificeret til sit specifikke formål, og derfor bliver det sværere at spore fejlen. Selv fra et revisionsperspektiv bliver en kopieret kode med små modifikationer endnu sværere at blive revideret.
Introduktion af nye fejl
Hvis du kopierer en kode, er der stor sandsynlighed for, at du vil have en kort tur til markedet, så du ikke har tid til at forstå koden ind og ud. Enhver ny ændring, du foretager, vil have en meget stor sandsynlighed for at føre til en ny sårbarhed, som ikke let kan identificeres, da den kan have bånd til de eksisterende kodefunktioner.
Med andre ord, redigeringerne er lavet uden at forstå den originale kode, hvilket gør den mere tilbøjelig til fejl.
Licensproblemer
Det er nemt at kopiere og indsætte koder fra open source-projekter, men ikke at forstå licensimplikationerne af den kopierede kode kan være et problem, endnu mere for indlejrede enheder, hvor den indbyggede software betragtes som ny og unik.
Eksempler fra den virkelige verden på copy-paste-truslen
DeFi efterlades ikke uberørt af den forfærdelige praksis med copy paste. Der er DeFi-projekter, der kopierer og indsætter smarte kontraktkoder for Uniswap, Compound og andre vellykkede protokoller. Hvad der er mere forfærdeligt ved sådan praksis er, at de ofte kopierer det med fejl – hvilket gør angribernes arbejde til et stykke kage!
Et af de helt seneste eksempler på et sådant angreb var det BSC-baserede 'Uranium Finance', dette var en Uniswap V2-gaffel, der blev udnyttet den 28. april 2021 til $ 57 millioner. Fulcrum-udvikler - Kyle Kistner påpegede, at Uranium-udviklere kopierede SushiSwap (allerede en Uniswap-klon) kode, de erstattede nummer 1,000 med 10,000 overalt - undtagen i ét tilfælde:
kilde: Tweet
Et andet eksempel på copy-paste-faren er 'BurgerSwap' – hacket den 28. maj 2021 med et anslået tab på – 7.2 millioner dollars.
"Ifølge Uniswap-grundlægger Hayden Adams kunne det nemt have været undgået."
Det gaflede også Uniswaps kode, men gik glip af en brik: x*y = k check, den spillede en vigtig rolle i beregningen af værdien af hvert token. Uden dette byttede angriberen hvert lille beløb ved at oprette en dummy-token for tusindvis af BNB & BURGER.
Konklusion
Kopier og indsæt er ikke alle dårlige. I visse situationer kan de være meget nyttige for et projekt til hurtigt at implementere et bestemt element, der allerede er bygget ordentligt. I andre tilfælde kan det også hjælpe dig med at forblive i status quo og implementere noget, der er acceptabelt som en løsning.
DeFi er dog ikke den rigtige plads til det. Selvom der kun er et par linjer med koder, du skal ændre, anbefales det ikke at kopiere og indsætte. Som specialister i smart kontraktrevision har vi set flere virksomheder med gode intentioner og visioner fejle pga. sådan praksis. Kerneårsagen er ikke kun sårbarheder, men manglende evne til at få brugernes tillid. Og hele DeFi-rummet er født ud af behovet for tillid.
Selvom du beslutter dig for at gå efter en copy-paste på grund af visse faktorer og begrundelser, bør det at få koden revideret grundigt være øverst på din prioritetsliste. Selvom koden blev revideret, betyder det ikke, at kopien vil være lige så sikker som den originale kode. For eksempel kan det oraklet, der bruges i den originale kode, være skiftet til en ny version, og når du kopierer koden, er den nye version af oraklet muligvis ikke kompatibel med den gamle version af koden, og sårbarheden introduceres. Så for at sikre, at din ambitiøse idé og vision bliver til virkelighed gennem din DeFi-kode, få det revideret før de satte millioner af dollars på spil.
Nå ud til QuillHash
Med en branche tilstedeværelse af år, QuillHash har leveret virksomhedsløsninger over hele kloden. QuillHash med et team af eksperter er et førende blockchain-udviklingsfirma, der leverer forskellige brancheløsninger, herunder DeFi-virksomhed. Hvis du har brug for hjælp til smart kontrakter revision, er du velkommen til at kontakte vores eksperter her!
Følg QuillHash for flere opdateringer
Kilde: https://blog.quillhash.com/2021/08/04/why-copy-paste-in-defis-are-scarier-than-clowns/
- &
- 000
- 2019
- adgang
- Fordel
- Alle
- Apple
- april
- omkring
- revision
- Billion
- binance
- blockchain
- bnb
- Bug
- bugs
- tilfælde
- forårsagede
- odds
- kode
- Coin
- Fælles
- samfund
- Virksomheder
- selskab
- Forbindelse
- kontrakt
- kontrakter
- krypto
- data
- Defi
- udvikle
- Udvikler
- udviklere
- Udvikling
- Enheder
- dollars
- økosystem
- Enterprise
- eksperter
- Ansigtet
- finansielle
- Fornavn
- gaffel
- formular
- grundlægger
- Gratis
- Generelt
- godt
- hacker
- Høj
- Hvordan
- How To
- HTTPS
- kæmpe
- idé
- identificere
- Herunder
- industrien
- IT
- Karriere
- viden
- Sprog
- seneste
- føre
- førende
- lærte
- Licens
- lys
- Limited
- Liste
- større
- Making
- Marked
- memer
- million
- penge
- nyheder
- åbent
- open source
- oracle
- Andet
- ejer
- Mennesker
- perspektiv
- fattige
- Produkt
- projekt
- projekter
- kvalitet
- Reality
- årsager
- forskning
- REST
- Resultater
- Snydere
- sikkerhed
- semantik
- Tjenester
- Del
- Kort
- lille
- Smart
- smart kontrakt
- Smarte kontrakter
- So
- Software
- Løsninger
- Space
- tilbringe
- spil
- Status
- forblive
- vellykket
- overraskelse
- systemet
- Teknologier
- tid
- token
- top
- Sporing
- Stol
- Uniswap
- us
- brugere
- værdi
- vision
- Sårbarheder
- sårbarhed
- ord
- Arbejde
- år
![Hvordan opdager man Cryptojacking-angreb? [Med forebyggelse og løsninger] PlatoBlockchain Data Intelligence. Lodret søgning. Ai.](https://platoblockchain.com/wp-content/uploads/2021/07/how-to-detect-cryptojacking-attack-with-prevention-and-solutions-300x37.jpg "Hvordan finder man Cryptojacking-angreb? [Med forebyggelse og løsninger]")
