Wir machen seit Jahren Copy-Paste-Witze. Erinnern Sie sich an alle Meme von STRG + C und STRG + V? Nun, sie sind gekommen, um uns zu verfolgen, weil wir sie für den falschen Zweck benutzt haben.
Spezifisch für die IT-Branche sind Kopieren und Einfügen eine alte und gängige Form der Wiederverwendung von Software. Die meisten Leute tun es, um Zeit und Mühe zu sparen, andere nutzen es, weil sie keine Zeit damit verbringen wollen, es selbst zu tun, beide tragen irgendwann die Konsequenzen.
Von einer Vielzahl von Nachteilen ist der auffälligste das Duplizieren von Fehlern und Sicherheitslücken im gesamten System, wenn Sie einen vorhandenen Code kopieren. Ob das Kopieren und Einfügen eines Codes erlaubt sein sollte oder nicht, ist aufgrund seiner Vor- und Nachteile umstritten, aber wir sind uns alle einig, dass Fehler, die durch einen unveränderten kopierten Code eingeführt werden, zu ernsthaften Situationen führen können. Die Einsätze sind noch höher, wenn es um das Krypto- und DeFi-Ökosystem geht.
DeFi ist ein verworrener Raum. Es ist für alle kostenlos, nicht nur in Bezug auf den Zugang, sondern auch in Bezug auf die Technologieimplementierung. Die meisten DeFi-Protokolle und -Ideen sind Open-Source, sodass jeder helfen kann, aber aus diesem Grund ist es zu einem zweischneidigen Schwert geworden. Die eine Seite des Camps hilft den DeFi-Projekten dabei, besser zu werden, während die andere Seite die Projekte und den Code kopiert, um ihre eigene Lösung zu entwickeln.
Was hat Apple zu einem erfolgreichen Unternehmen gemacht? Steve Jobs wusste, dass das Streichen der Rückseite des Zauns genauso wichtig ist wie das Streichen der Vorderseite, auch wenn es sonst niemand sieht. Nicht nur die Qualität, sondern auch die Einzigartigkeit spielt eine große Rolle, um eine treue Fangemeinde zu schaffen.
Aber selbst über den Einzigartigkeitsfaktor hinaus hat der DeFi-Raum nicht erkannt, dass der Code, den sie kopieren, selbst nicht vollständig ist. Jedes DeFi-Protokoll entwickelt sich schnell weiter und erforscht sich selbst. Daher kann jedes Protokoll da draußen einige neue Fehler entdecken. Selbst wenn der Code gut geprüft ist, können neue Fehler ans Licht kommen und ein Protokoll kann nur dann vor solchen Fehlern geschützt werden, wenn das ursprüngliche Konzept von einem Kernteam implementiert wird.
Die Gefahren des Kopierens und Einfügens in DeFi
Gerade für den DeFi-Bereich kann ein kopierter Code zu enormen finanziellen Verlusten führen. Darüber hinaus ist das meiste Copy-Paste aufgrund des begrenzten Wissens der kopierenden Person von schlechter Qualität, was zu Zeitverschwendung, unerwünschten Änderungen und vor allem Hackerangriffen führt.
Vor einiger Zeit wurde die DeFi-Branche von der Nachricht getroffen, dass das Binance Smart Chain DeFi-Protokoll Pancake Bunny wurde ausgenutzt Durch einen Flash-Darlehen-Angriff soll die Gemeinde einen Verlust von 1 Milliarde US-Dollar erlitten haben.
Bevor Sie sich für ein DeFi-Produkt entscheiden, müssen Sie unbedingt die Qualität und Einzigartigkeit des Codes überprüfen. Ein Blick eines Fachmanns in diesen Bereich kann leicht erkennen, ob der Code kopiert wurde oder nicht.
Es ist sehr wichtig zu verstehen, dass die Entwickler beim Kopieren eines Codes nicht nur die Daten kopieren, sondern auch Fehler und Schwachstellen kopieren. Wenn Programmierer versuchen, den Code zu kopieren, kann außerdem eine subtilere Semantik entstehen. Es ist keine Überraschung, dass die DeFI-Branche so vielen Hackerangriffen ausgesetzt war, von denen die meisten erfolgreich waren. Seit 2019, Hackerangriffe haben einen Schaden von rund 285 Millionen US-Dollar verursacht.
Quelle: Atlas-VPN
Daher ist die erste Lektion, die man gelernt hat, „immer den Code zu überprüfen“. Auch wenn Sie Product Owner sind, müssen Sie den Code überprüfen, der von Ihrem Team entwickelt wird.
Vorgewarnt ist gewappnet – wenn Sie wissen, wonach Sie suchen, können Sie die Wahrscheinlichkeit verringern, dass Betrüger Ihr Produkt ausnutzen. Eine der vielen guten Dinge an der DeFi-Community ist, dass selbst wenn Sie nicht wissen, wie man programmiert, das Projekt einen offenen Code hat und wenn die Leute es interessant finden, wird die Community sicherlich Nachforschungen anstellen und die Ergebnisse mit den anderen teilen der Menschen.
Die meisten Entwickler würden zustimmen, dass das Kopieren und Einfügen von Codes im Allgemeinen eine schlechte Praxis ist. Dies ist üblich, da das Ändern des Codes oder das Erstellen eines neuen Codes Zeit, Mühe und Geld kostet.
Dies bedeutet nicht unbedingt, dass die Wiederverwendung von Code schlecht ist. Ein Code kann wiederverwendet werden und sollte, wo immer es sinnvoll ist, wiederverwendet werden, da dies Zeit und Mühe spart. Dieser Code muss jedoch nach Änderungen professionell auditiert werden.
Gründe, das Kopieren und Einfügen in DeFi zu vermeiden
Im Folgenden sind einige weitere Gründe aufgeführt, warum das Einfügen von Kopien im DeFi-Bereich vermieden werden sollte:
Schlechte Wiederverwendung
Jeder Code hat seine eigenen Abhängigkeiten. Auch wenn sie generisch sind, wird die Version der Abhängigkeiten, Bibliotheken, Sprachen und des Codes selbst ständig aktualisiert. Das bedeutet, selbst wenn Sie den neuesten Code kopieren, wird die Wiederverwendung schlecht sein, egal wie gut Sie im Kopieren sind.
Vererbung der Schwachstellen
Eine Medaille hat immer zwei Seiten. Wenn Sie die Gewinne eines Projekts erben möchten, müssen Sie auch die Verluste erben. Das häufigste Problem beim Kopieren eines Codes ist das Kopieren der Probleme, die dem Originalcode innewohnen. Das Schlimmste daran ist, dass der kopierte Code für seinen spezifischen Zweck modifiziert wird und somit das Aufspüren des Fehlers schwieriger wird. Selbst aus Auditing-Perspektive ist es noch schwieriger, einen kopierten Code mit kleinen Modifikationen zu auditieren.
Einführung neuer Fehler
Wenn Sie einen Code kopieren, besteht die Möglichkeit, dass Sie eine kurze Markteinführungszeit wünschen, damit Sie nicht die Zeit haben, den Code in und auswendig zu verstehen. Jede neue Änderung führt mit sehr hoher Wahrscheinlichkeit zu einer neuen Schwachstelle, die nicht leicht identifiziert werden kann, da sie möglicherweise mit den vorhandenen Codefunktionen in Zusammenhang steht.
Mit anderen Worten, die Änderungen werden vorgenommen, ohne den ursprünglichen Code zu verstehen, was ihn anfälliger für Fehler macht.
Lizenzfragen
Es ist einfach, Codes aus Open-Source-Projekten zu kopieren und einzufügen, aber die Lizenzimplikationen des kopierten Codes nicht zu verstehen, kann ein Problem sein, noch mehr für eingebettete Geräte, bei denen die Onboard-Software als neu und einzigartig gilt.
Beispiele aus der Praxis für die Copy-Paste-Bedrohung
DeFi bleibt von den schrecklichen Praktiken des Kopierens nicht unberührt. Es gibt DeFi-Projekte, die Smart-Contract-Codes von Uniswap, Compound und anderen erfolgreichen Protokollen kopieren und einfügen. Was noch schlimmer ist, ist, dass sie es oft mit Fehlern kopieren – was die Arbeit der Angreifer zum Kinderspiel macht!
Eines der jüngsten Beispiele für einen solchen Angriff war die BSC-basierte 'Uranium Finance', dies war ein Uniswap V2-Fork, der am 28 57 Mio. US$. Fulcrum-Entwickler – Kyle Kistner wies darauf hin, dass Uranium-Entwickler den Code von SushiSwap (bereits ein Uniswap-Klon) kopierten, sie ersetzten überall die Zahl 1,000 durch 10,000 – außer in einem Fall:
Quelle: Tweet
Ein weiteres Beispiel für die Copy-Paste-Gefahr ist „BurgerSwap“ – gehackt am 28. Mai 2021 mit einem geschätzten Verlust von 7.2 Millionen US-Dollar.
„Laut Uniswap-Gründer Hayden Adams hätte es leicht vermieden werden können.“
Es hat auch den Code von Uniswap gegabelt, aber ein Stück verpasst: x*y = k check, es spielte eine wichtige Rolle bei der Berechnung des Wertes jedes Tokens. Ohne dies tauschte der Angreifer jeden kleinen Betrag ein, indem er einen Dummy-Token gegen . erstellte Tausende von BNB & BURGER.
Zusammenfassung
Kopieren und Einfügen ist nicht alles schlecht. In bestimmten Situationen können sie für ein Projekt sehr nützlich sein, um ein bestimmtes Element, das bereits richtig gebaut wurde, schnell zu implementieren. In anderen Fällen kann es Ihnen auch helfen, beim Status Quo zu bleiben und etwas zu implementieren, das als Lösung akzeptabel ist.
DeFi ist jedoch nicht der richtige Ort dafür. Auch wenn nur wenige Codezeilen geändert werden müssen, wird das Kopieren und Einfügen nicht empfohlen. Als Spezialisten für Smart Contract Audits haben wir mehrere Unternehmen mit guten Absichten und Visionen scheitern sehen, weil solche Praktiken. Der Hauptgrund sind nicht nur Schwachstellen, sondern die Unfähigkeit, das Vertrauen der Benutzer zu gewinnen. Und der gesamte DeFi-Raum entsteht aus dem Bedürfnis nach Vertrauen.
Selbst wenn Sie sich aufgrund bestimmter Faktoren und Begründungen für ein Kopieren und Einfügen entscheiden, sollte eine gründliche Überprüfung des Codes ganz oben auf Ihrer Prioritätenliste stehen. Selbst wenn der Code geprüft wurde, bedeutet dies nicht, dass die Kopie so sicher ist wie der Originalcode. Zum Beispiel könnte das im Originalcode verwendete Orakel auf eine neue Version verschoben worden sein und wenn Sie den Code kopieren, ist diese neue Version des Orakels möglicherweise nicht mit der alten Version des Codes kompatibel, und die Sicherheitsanfälligkeit wird eingeführt. Damit Ihre ehrgeizige Idee und Vision durch Ihren DeFi-Code Wirklichkeit wird, lass es auditieren bevor er Millionen von Dollar aufs Spiel setzt.
Erreichen Sie QuillHash
Mit einer Branchenpräsenz von Jahren, QuillHasch hat weltweit Unternehmenslösungen geliefert. QuillHash mit einem Expertenteam ist ein führendes Blockchain-Entwicklungsunternehmen, das verschiedene Branchenlösungen einschließlich DeFi Enterprise anbietet. Wenn Sie Unterstützung bei der Prüfung intelligenter Verträge benötigen, wenden Sie sich bitte an unsere Experten hier!
Folgen Sie QuillHash für weitere Updates
Quelle: https://blog.quillhash.com/2021/08/04/why-copy-paste-in-defis-are-scarier-than-clowns/
- &
- 000
- 2019
- Zugang
- Vorteil
- Alle
- Apple
- April
- um
- Prüfung
- Milliarde
- Binance
- Blockchain
- bnb
- Fehler
- Bugs
- Fälle
- verursacht
- Chancen
- Code
- Münze
- gemeinsam
- community
- Unternehmen
- Unternehmen
- Compounds
- Vertrag
- Verträge
- Krypto
- technische Daten
- DeFi
- entwickeln
- Entwickler:in / Unternehmen
- Entwickler
- Entwicklung
- Geräte
- Dollar
- Ökosystem
- Unternehmen
- Experten
- Gesicht
- Revolution
- Vorname
- Gabel
- unten stehende Formular
- Gründer
- Frei
- Allgemeines
- gut
- Hacker
- GUTE
- Ultraschall
- Hilfe
- HTTPS
- riesig
- Idee
- identifizieren
- Einschließlich
- Energiegewinnung
- IT
- Jobs
- Wissen
- Sprachen
- neueste
- führen
- führenden
- gelernt
- Lizenz
- !
- Limitiert
- Liste
- Dur
- Making
- Markt
- Meme
- Million
- Geld
- News
- XNUMXh geöffnet
- Open-Source-
- Orakel
- Andere
- Eigentümer
- Personen
- Perspektive
- Arm
- Produkt
- Projekt
- Projekte
- Qualität
- Realität
- Gründe
- Forschungsprojekte
- REST
- Die Ergebnisse
- Betrüger
- Sicherheitdienst
- Semantik
- Lösungen
- Teilen
- Short
- klein
- smart
- Smart-Vertrag
- Smart Contracts
- So
- Software
- Lösungen
- Raumfahrt
- verbringen
- Scheiterhaufen
- Status
- bleiben
- erfolgreich
- Überraschung
- System
- Technologie
- Zeit
- Zeichen
- Top
- Tracking
- Vertrauen
- Uniswap
- us
- Nutzer
- Wert
- Seh-
- Sicherheitslücken
- Verwundbarkeit
- Worte
- Arbeiten
- Jahr
![Wie erkennt man einen Cryptojacking-Angriff? [Mit Prävention und Lösungen] PlatoBlockchain Data Intelligence. Vertikale Suche. Ai.](https://platoblockchain.com/wp-content/uploads/2021/07/how-to-detect-cryptojacking-attack-with-prevention-and-solutions-300x37.jpg "Wie erkennt man Cryptojacking-Angriffe? [Mit Prävention und Lösungen]")
