Hemos estado haciendo bromas de copiar y pegar durante años. ¿Recuerdas todos los memes de CTRL + C y CTRL + V? Bueno, han venido a perseguirnos porque los hemos estado usando para el propósito equivocado.
Específicamente para la industria de TI, copiar y pegar son una forma antigua y común de reutilizar software. La mayoría de la gente lo hace para ahorrar tiempo y esfuerzo, otros lo usan porque no quieren perder tiempo haciéndolo ellos mismos, ambos enfrentan las consecuencias eventualmente.
De una plétora de inconvenientes, el más destacado es la duplicación de errores y vulnerabilidades de seguridad en todo el sistema cuando copia un código existente. Si la práctica de copiar y pegar un código debe permitirse o no es discutible debido a sus pros y contras, pero el hecho en el que todos estamos de acuerdo es que los errores introducidos por un código copiado sin modificar pueden conducir a situaciones graves. Lo que está en juego es aún mayor cuando se trata del ecosistema de criptografía y DeFi.
DeFi es un espacio enredado. Es gratis para todos, no solo en términos de acceso sino también en términos de implementación de tecnología. La mayoría de los protocolos e ideas de DeFi son de código abierto para que cualquiera pueda ayudar, pero debido a esto se ha convertido en un arma de doble filo. Un lado del campamento está ayudando a que los proyectos DeFi sean mejores, mientras que el otro lado está copiando los proyectos y el código para desarrollar su propia solución.
¿Qué convirtió a Apple en una empresa de éxito? Steve Jobs sabía que pintar la parte de atrás de la cerca es tan importante como pintar el frente, incluso si nadie más lo verá. No solo la calidad, sino también la singularidad juega un papel importante para crear una base de seguidores leales.
Pero incluso más allá del factor de singularidad, lo que el espacio DeFi no se ha dado cuenta es que el código que están copiando no está completo en sí mismo. Cada protocolo DeFi evoluciona rápidamente y se explora a sí mismo. Por lo tanto, todos los protocolos que existen pueden descubrir algunos errores nuevos. Incluso si el código está bien auditado, pueden salir a la luz nuevos errores y un protocolo puede protegerse de dichos errores solo si tiene el concepto original implementado por un equipo central.
Los peligros de copiar y pegar en DeFi
Especialmente para el espacio DeFi, un código copiado puede generar enormes pérdidas financieras. Además de eso, la mayor parte de copiar y pegar es de mala calidad debido al conocimiento limitado de la persona que copia, lo que conduce a una pérdida de tiempo, modificaciones no deseadas y, lo más importante, ataques de piratas informáticos.
Hace algún tiempo, la industria DeFi se vio afectada por la noticia de que el protocolo Binance Smart Chain DeFi Pancake Bunny ha sido explotado como resultado de un ataque de préstamos urgentes, se creía que la comunidad había enfrentado una pérdida de mil millones de dólares.
Antes de elegir el producto DeFi, es muy necesario comprobar la calidad y unicidad del código. Una mirada de un profesional en este espacio puede identificar fácilmente si el código está copiado o no.
Es muy importante comprender que al copiar un código, los desarrolladores no solo copian los datos, sino que también copian errores y vulnerabilidades. Además, cuando los programadores intentan copiar el código, puede surgir una semántica más sutil. No es de extrañar que la industria de DeFI se haya enfrentado a tantos ataques de piratas informáticos, la mayoría de los cuales tuvieron éxito. Desde 2019 Los ataques de piratas informáticos han provocado una pérdida de alrededor de $ 285 millones.
Fuente: atlasvpn
Por tanto, la primera lección que se aprende es “comprobar siempre el código”. Incluso si es propietario de un producto, debe verificar el código que está desarrollando su equipo.
Prevenido está prevenido: si sabe lo que está buscando, puede disminuir las posibilidades de que los estafadores se aprovechen de su producto. Una de las muchas cosas buenas de la comunidad DeFi es que incluso si no sabe cómo codificar, el proyecto tiene un código abierto a su alrededor y si la gente lo encuentra interesante, la comunidad seguramente realizará una investigación y compartirá los resultados con el resto. de la gente.
La mayoría de los desarrolladores estarían de acuerdo en el hecho de que copiar y pegar códigos es una mala práctica en general. Es común porque cambiar el código o crear uno nuevo requerirá tiempo, esfuerzo y dinero.
Esto no significa necesariamente que la reutilización del código sea mala. Un código puede reutilizarse y debe reutilizarse donde sea adecuado porque ahorra tiempo y esfuerzo. Sin embargo, este código debe auditarse de manera profesional después de las modificaciones.
Razones para evitar copiar y pegar en DeFi
A continuación se mencionan algunas razones más por las que se debe evitar el pegado de copias en el espacio DeFi:
Reutilización deficiente
Cada código tiene sus propias dependencias. Incluso si son genéricos, la versión de las dependencias, bibliotecas, lenguajes y el código en sí sigue actualizándose. Esto significa que, incluso si copia el código más reciente, la reutilización será deficiente, sin importar lo bueno que sea copiando.
Heredar las vulnerabilidades
Siempre hay dos caras de una moneda. Si desea heredar las ganancias de un proyecto, también tendrá que heredar las pérdidas. El problema más común de copiar un código es copiar los problemas inherentes al código original. La peor parte es que el código copiado se modifica para su propósito específico y, por lo tanto, rastrear el error se vuelve más difícil. Incluso desde una perspectiva de auditoría, un código copiado con pequeñas modificaciones se vuelve aún más difícil de auditar.
Introduciendo nuevos errores
Si está copiando un código, lo más probable es que desee un corto tiempo de lanzamiento al mercado para no tener tiempo para entender el código dentro y fuera. Cualquier modificación nueva que realice tendrá una probabilidad muy alta de generar una nueva vulnerabilidad que no se puede identificar fácilmente, ya que puede tener vínculos con las funcionalidades del código existente.
En otras palabras, las ediciones se realizan sin comprender el código original, lo que lo hace más propenso a errores.
Problemas de licencia
Es fácil copiar y pegar códigos de proyectos de código abierto, pero no comprender las implicaciones de licencia del código copiado puede ser un problema, incluso más para dispositivos integrados donde el software integrado se considera nuevo y único.
Ejemplos del mundo real de la amenaza de copiar y pegar
DeFi no se deja al margen de las terribles prácticas de copiar y pegar. Hay proyectos de DeFi que copian y pegan códigos de contratos inteligentes de Uniswap, Compound y otros protocolos exitosos. Lo que es más terrible de esta práctica es que a menudo la copian con errores, ¡haciendo que el trabajo de los atacantes sea pan comido!
Uno de los ejemplos más recientes de tal ataque fue el 'Uranium Finance' basado en BSC, se trataba de una bifurcación Uniswap V2 que se explotó el 28 de abril de 2021 para 57 millones de dólares. Desarrollador Fulcrum: Kyle Kistner señaló que los desarrolladores de Uranium copiaron el código SushiSwap (que ya era un clon de Uniswap), reemplazaron el número 1,000 por 10,000 en todas partes, excepto en un caso:
fuente: Tweet
Otro ejemplo del peligro de copiar y pegar es 'BurgerSwap', pirateado el 28 de mayo de 2021 con una pérdida estimada de - $ 7.2 millones.
"Según el fundador de Uniswap, Hayden Adams, podría haberse evitado fácilmente".
También bifurcó el código de Uniswap, pero falló en una pieza: x * y = k cheque, jugó un papel importante en el cálculo del valor de cada token. Sin esto, el atacante intercambió cada pequeña cantidad creando un token ficticio para miles de BNB y BURGER.
Conclusión
Copiar y pegar no es del todo malo. En determinadas situaciones, pueden resultar muy útiles para que un proyecto implemente rápidamente cierto elemento que ya se ha construido correctamente. En otros casos, también podría ayudarlo a mantenerse en el status quo e implementar algo que sea aceptable como solución.
Sin embargo, DeFi no es el espacio adecuado para ello. Incluso si solo hay unas pocas líneas de códigos que debe modificar, no se recomienda copiar y pegar. Como especialistas en auditorías de contratos inteligentes, hemos visto a varias empresas, con buenas intenciones y visiones, fracasar debido a tales prácticas. La razón principal no son solo las vulnerabilidades, sino la incapacidad de obtener la confianza de los usuarios. Y todo el espacio DeFi nace de la necesidad de confianza.
Incluso si decide optar por copiar y pegar debido a ciertos factores y justificaciones, hacer que el código sea auditado a fondo debería estar en la parte superior de su lista de prioridades. Incluso si el código fue auditado, no significa que la copia estará tan segura como el código original. Por ejemplo, es posible que el oráculo que se usa en el código original se haya cambiado a una nueva versión y, cuando copia el código, esa nueva versión del oráculo puede no ser compatible con la versión anterior del código y se introduce la vulnerabilidad. Entonces, para asegurarse de que su ambiciosa idea y visión se conviertan en realidad a través de su código DeFi, hazlo auditado antes de poner en juego millones de dólares.
Comuníquese con QuillHash
Con una presencia industrial de años, QuillHash ha entregado soluciones empresariales en todo el mundo. QuillHash con un equipo de expertos es una empresa líder en desarrollo de blockchain que ofrece varias soluciones de la industria, incluida la empresa DeFi.Si necesita ayuda en la auditoría de contratos inteligentes, no dude en comunicarse con nuestros expertos. aquí!
Siga QuillHash para obtener más actualizaciones
Twitter | Etiqueta LinkedIn | Facebook
Fuente: https://blog.quillhash.com/2021/08/04/why-copy-paste-in-defis-are-scarier-than-clowns/
- &
- 000
- 2019
- de la máquina
- Ventaja
- Todos
- Apple
- Abril
- en torno a
- auditoría
- mil millones
- binance
- blockchain
- BNB
- Error
- loco
- cases
- causado
- posibilidades
- código
- Monedas
- Algunos
- vibrante e inclusiva
- Empresas
- compañía
- Compuesto
- contrato
- contratos
- cripto
- datos
- DeFi
- desarrollar
- Developer
- desarrolladores
- Desarrollo
- Dispositivos
- dólares
- ecosistema
- Empresa
- expertos
- Cara
- financiero
- Nombre
- tenedor
- formulario
- fundador
- Gratis
- General
- candidato
- pirata informático
- Alta
- Cómo
- Como Hacer
- HTTPS
- enorme
- idea
- Identifique
- Incluye
- energético
- IT
- Empleo
- especialistas
- Idiomas
- más reciente
- Lead
- líder
- aprendido
- Licencia
- luz
- Limitada
- Etiqueta LinkedIn
- Lista
- gran
- Realizar
- Mercado
- memes
- millones
- dinero
- noticias
- habiertos
- de código abierto
- oráculo
- Otro
- propietario
- Personas
- la perspectiva
- pobre
- Producto
- proyecto
- proyecta
- calidad
- Realidad
- razones
- la investigación
- RESTO
- Resultados
- Los estafadores
- EN LINEA
- semántica
- Servicios
- Compartir
- En Corto
- chica
- inteligente
- contrato inteligente
- Contratos Inteligentes
- So
- Software
- Soluciones
- Espacio
- pasar
- stake
- Estado
- quedarse
- exitosos
- sorpresa
- te
- Tecnología
- equipo
- ficha
- parte superior
- Seguimiento
- Confía en
- Uniswap
- us
- usuarios
- propuesta de
- visión
- Vulnerabilidades
- vulnerabilidad
- palabras
- Actividades:
- años
![¿Cómo detectar un ataque de Cryptojacking? [Con prevención y soluciones] PlatoBlockchain Data Intelligence. Búsqueda vertical. Ai.](https://platoblockchain.com/wp-content/uploads/2021/07/how-to-detect-cryptojacking-attack-with-prevention-and-solutions-300x37.jpg "¿Cómo detectar un ataque de Cryptojacking? [Con prevención y soluciones]")
