Oleme aastaid teinud copy-paste nalju. Kas mäletate kõiki CTRL + C ja CTRL + V meeme? Noh, nad on tulnud meid kummitama, sest oleme neid valel eesmärgil kasutanud.
IT-tööstusele omaselt on kopeerimine ja kleepimine vana ja levinud tarkvara taaskasutamise vorm. Enamik inimesi teeb seda aja ja vaeva säästmiseks, teised kasutavad seda seetõttu, et nad ei taha ise sellele aega kulutada, mõlemad seisavad lõpuks tagajärgedega silmitsi.
Paljude puuduste hulgas on kõige silmatorkavam vigade ja turvaaukude dubleerimine kogu süsteemis, kui kopeerite olemasoleva koodi. See, kas koodi kopeerimine ja kleepimine peaks olema lubatud või mitte, on selle plusside ja miinuste tõttu vaieldav, kuid sellega võime kõik nõustuda, et muutmata kopeeritud koodi tekitatud vead võivad põhjustada tõsiseid olukordi. Panused on veelgi suuremad, kui tegemist on krüpto- ja DeFi ökosüsteemiga.
DeFi on sassis ruum. See on kõigile tasuta, mitte ainult juurdepääsu, vaid ka tehnoloogia rakendamise osas. Enamik DeFi protokolle ja ideid on avatud lähtekoodiga, nii et igaüks saab aidata, kuid tänu sellele on sellest saanud kahe teraga mõõk. Üks laagri pool aitab DeFi projekte paremaks muuta, teine pool aga kopeerib projekte ja koodi, et oma lahendus välja töötada.
Mis tegi Apple'ist eduka ettevõtte? Steve Jobs teadis, et aia tagakülje värvimine on sama oluline kui esikülje värvimine, isegi kui keegi teine seda ei näe. Lojaalse fännibaasi loomisel ei mängi suurt rolli mitte ainult kvaliteet, vaid ka ainulaadsus.
Kuid isegi peale unikaalsuse teguri ei ole DeFi ruum aru saanud, et nende kopeeritav kood pole iseenesest täielik. Iga DeFi protokoll areneb kiiresti ja uurib ennast. Seetõttu võib iga protokoll avastada uusi vigu. Isegi kui kood on hästi auditeeritud, võivad uued vead päevavalgele tulla ja protokolli saab selliste vigade eest kaitsta ainult siis, kui selle algne kontseptsioon on juurutatud põhimeeskonna poolt.
DeFi kopeerimise ja kleepimise ohud
Eriti DeFi ruumi puhul võib kopeeritud kood kaasa tuua suuri rahalisi kaotusi. Lisaks on enamik kopeerimis-kleebimisest halva kvaliteediga kopeeriva isiku piiratud teadmiste tõttu, mis toob kaasa ajaraiskamise, soovimatud muudatused ja mis kõige tähtsam, häkkerite rünnakud.
Mõni aeg tagasi tabas DeFi tööstust uudis, et Binance Smart Chain DeFi protokoll Pannkoogijänku on ära kasutatud kiirlaenurünnaku tõttu arvati, et kogukond oli silmitsi 1 miljardi dollari suuruse kahjuga.
Enne DeFi toote valimist on väga vajalik kontrollida koodi kvaliteeti ja unikaalsust. Professionaali üks pilk sellesse kohta võib hõlpsasti tuvastada, kas kood on kopeeritud või mitte.
On väga oluline mõista, et koodi kopeerimisel ei kopeeri arendajad mitte ainult andmeid, vaid kopeerivad ka vigu ja turvaauke. Veelgi enam, kui programmeerijad proovivad koodi kopeerida, võib tekkida peenem semantika. Pole üllatav, et DeFI tööstus seisis silmitsi nii paljude häkkerite rünnakutega, millest enamik olid edukad. Alates 2019. aastast häkkerite rünnakud on tekitanud umbes 285 miljonit dollarit kahju.
Allikas: AtlasVPN
Seetõttu on esimene õppetund "alati koodi kontrollimine". Isegi kui olete toote omanik, peate kontrollima oma meeskonna poolt väljatöötatavat koodi.
Forewarned on forearmed – kui teate, mida otsite, võite vähendada võimalust, et petturid teie toodet ära kasutavad. Üks paljudest headest asjadest DeFi kogukonna juures on see, et isegi kui te ei tea, kuidas kodeerida, on projekti ümber avatud kood ja kui see inimestele tundub huvitav, viib kogukond kindlasti läbi uuringuid ja jagab tulemusi teistega. inimestest.
Enamik arendajaid nõustub tõsiasjaga, et koodide kopeerimine ja kleepimine on üldiselt halb tava. See on tavaline, kuna koodi muutmine või uue tegemine võtab aega, vaeva ja raha.
See ei tähenda tingimata, et koodi taaskasutamine on halb. Koodi saab uuesti kasutada ja seda tuleks igal sobival korral uuesti kasutada, kuna see säästab aega ja vaeva. Seda koodi tuleb aga pärast muudatusi professionaalselt auditeerida.
Põhjused, miks vältida DeFi-s kopeerimist ja kleepimist
Allpool on mainitud veel mõned põhjused, miks tuleks DeFi-ruumis kopeerimise kleepimist vältida.
Kehv taaskasutus
Igal koodil on oma sõltuvused. Isegi kui need on üldised, uuendatakse sõltuvuste, teekide, keelte ja koodi enda versioone pidevalt. See tähendab, et isegi kui kopeerite uusima koodi, on taaskasutus kehv, hoolimata sellest, kui hea kopeerimisega olete.
Haavatavuste pärimine
Mündil on alati kaks külge. Kui soovite pärida projekti kasumit, peate pärima ka kahjumi. Koodi kopeerimise kõige levinum probleem on originaalkoodile omaste probleemide kopeerimine. Halvim osa on see, et kopeeritud koodi muudetakse selle konkreetse eesmärgi jaoks ja seetõttu muutub vea leidmine keerulisemaks. Isegi auditeerimise seisukohast muutub väheste muudatustega kopeeritud koodi auditeerimine veelgi keerulisemaks.
Tutvustame uusi vigu
Kui kopeerite koodi, on tõenäoline, et soovite lühikese aja jooksul turule minna, et teil ei jääks aega koodi sisse ja välja mõistmiseks. Iga uus muudatus, mida teete, viib väga suure tõenäosusega uue haavatavuseni, mida ei ole lihtne tuvastada, kuna sellel võib olla seos olemasolevate koodifunktsioonidega.
Teisisõnu, muudatused tehakse algsest koodist aru saamata, mis muudab selle vigade tekkeks kergemaks.
Litsentsiprobleemid
Avatud lähtekoodiga projektide koodide kopeerimine ja kleepimine on lihtne, kuid kopeeritud koodi litsentsimõjude mittemõistmine võib osutuda probleemiks, veelgi enam manustatud seadmete puhul, kus pardatarkvara peetakse uueks ja ainulaadseks.
Näited kopeerimise ja kleepimise ohu kohta päris maailmas
DeFi ei jää puutumata kopeerimiskleebi kohutavatest tavadest. On DeFi projekte, mis kopeerivad ja kleepivad Uniswapi, Compoundi ja muude edukate protokollide nutikaid lepingukoode. Sellise praktika puhul on veelgi kohutavam see, et nad kopeerivad seda sageli vigadega – ründajate töö on käkitegu!
Üks väga hiljutisi näiteid sellisest rünnakust oli BSC-l põhinev "Uranium Finance", see oli Uniswap V2 kahvel, mida kasutati 28. aprillil 2021. $ 57 miljonit. Fulcrumi arendaja – Kyle Kistner juhtis tähelepanu sellele, et Uraani arendajad kopeerisid SushiSwapi (juba Uniswapi klooni) koodi, nad asendasid igal pool numbri 1,000 10,000 XNUMX-ga – välja arvatud ühel juhul:
allikas: Tweet
Veel üks näide kopeerimise ja kleepimise ohust on „BurgerSwap”, millesse häkiti 28. mail 2021 ja mille hinnanguline kahju on 7.2 miljonit dollarit.
"Uniswapi asutaja Hayden Adamsi sõnul oleks seda võinud kergesti vältida."
See kahveldas ka Uniswapi koodi, kuid jäi vahele: x*y = k check, see mängis olulist rolli iga märgi väärtuse arvutamisel. Ilma selleta vahetas ründaja iga väikese summa, luues selle jaoks näivmärgi tuhandeid BNB & BURGER.
Järeldus
Kopeerimine ja kleepimine pole kõik halvad. Teatud olukordades võivad need olla projekti jaoks väga kasulikud, et kiiresti rakendada teatud element, mis on juba korralikult ehitatud. Muudel juhtudel võib see aidata teil püsida status quo juures ja rakendada lahendusena midagi, mis on vastuvõetav.
DeFi pole aga selle jaoks õige ruum. Isegi kui teil on vaid paar rida koode, mida peate muutma, pole kopeerimine ja kleepimine soovitatav. Nutikate lepingute auditite spetsialistidena oleme näinud mitmeid heade kavatsuste ja visioonidega ettevõtteid, mille tõttu ebaõnnestuvad sellised tavad. Peamine põhjus pole mitte ainult haavatavused, vaid ka võimetus võita kasutajate usaldust. Ja kogu DeFi ruum sünnib vajadusest usalduse järele.
Isegi kui otsustate teatud tegurite ja põhjenduste tõttu kopeerida ja kleepida, peaks koodi põhjalik auditeerimine olema teie prioriteetide loendi ülaosas. Isegi kui kood oli auditeeritud, ei tähenda see, et koopia oleks sama turvaline kui algne kood. Näiteks võis algses koodis kasutatav oraakel olla nihkunud uuele versioonile ja koodi kopeerimisel ei pruugi see oraakli uus versioon koodi vana versiooniga ühilduda ja haavatavus ilmneb. Tagamaks, et teie ambitsioonikas idee ja visioon saaks teie DeFi koodi kaudu reaalsuseks, seda auditeerida enne miljonite dollarite mängu panemist.
Pöörduge QuillHashi poole
Aastate jooksul tööstuses QuillHash on tarninud ettevõtte lahendusi kogu maailmas. QuillHash koos ekspertide meeskonnaga on juhtiv plokiahelate arendusettevõte, mis pakub erinevaid tööstusharulahendusi, sealhulgas DeFi ettevõte. Kui vajate nutikate lepingute auditeerimisel abi, pöörduge julgelt meie ekspertide poole leiad siit!
Järgige värskenduste saamiseks rakendust QuillHash
puperdama | LinkedIn | Facebook
Allikas: https://blog.quillhash.com/2021/08/04/why-copy-paste-in-defis-are-scarier-than-clowns/
- &
- 000
- 2019
- juurdepääs
- ADEelis
- Materjal: BPA ja flataatide vaba plastik
- õun
- Aprill
- ümber
- audit
- Miljard
- binants
- blockchain
- BnB
- Bug
- vead
- juhtudel
- põhjustatud
- vastuolu
- kood
- Münt
- ühine
- kogukond
- Ettevõtted
- ettevõte
- SEGU
- leping
- lepingud
- krüpto
- andmed
- Defi
- arendama
- arendaja
- Arendajad
- & Tarkvaraarendus
- seadmed
- dollarit
- ökosüsteemi
- ettevõte
- ekspertide
- nägu
- finants-
- esimene
- kahvel
- vorm
- Asutaja
- tasuta
- Üldine
- hea
- häkker
- Suur
- Kuidas
- Kuidas
- HTTPS
- tohutu
- idee
- identifitseerima
- Kaasa arvatud
- tööstus
- IT
- Tööturg
- teadmised
- Keeled
- hiljemalt
- viima
- juhtivate
- õppinud
- litsents
- valgus
- piiratud
- nimekiri
- peamine
- Tegemine
- Turg
- meemid
- miljon
- raha
- uudised
- avatud
- avatud lähtekoodiga
- oraakel
- Muu
- omanik
- Inimesed
- perspektiiv
- vaene
- Toode
- projekt
- projektid
- kvaliteet
- Reaalsus
- põhjustel
- teadustöö
- REST
- Tulemused
- Petturid
- turvalisus
- semantika
- Teenused
- Jaga
- Lühike
- väike
- nutikas
- arukas leping
- Tarkvaralepingud
- So
- tarkvara
- Lahendused
- Ruum
- kulutama
- kaalul
- olek
- jääma
- edukas
- üllatus
- süsteem
- Tehnoloogia
- aeg
- sümboolne
- ülemine
- Jälgimine
- Usalda
- Lahutage
- us
- Kasutajad
- väärtus
- nägemus
- Haavatavused
- haavatavus
- sõnad
- Töö
- aastat
![Kuidas tuvastada Cryptojackingi rünnak? [Koos ennetamise ja lahendustega] PlatoBlockchain Data Intelligence. Vertikaalne otsing. Ai.](https://platoblockchain.com/wp-content/uploads/2021/07/how-to-detect-cryptojacking-attack-with-prevention-and-solutions-300x37.jpg "Kuidas Cryptojacking rünnakut tuvastada? [Ennetamise ja lahendustega]")
