ما سالهاست که جوک کپی پیست می کنیم. تمام میم های CTRL + C و CTRL + V را به خاطر دارید؟ خوب، آنها به دنبال ما آمده اند زیرا ما از آنها برای هدف اشتباه استفاده کرده ایم.
مخصوص صنعت IT، کپی و چسباندن شکل قدیمی و رایج استفاده مجدد از نرم افزار است. اکثر مردم این کار را برای صرفه جویی در زمان و تلاش انجام می دهند، دیگران از آن استفاده می کنند زیرا نمی خواهند زمان خود را صرف انجام آن کنند، هر دو در نهایت با عواقب مواجه می شوند.
از میان انبوهی از ایرادات، برجستهترین آنها تکرار باگها و آسیبپذیریهای امنیتی در سراسر سیستم هنگام کپی کردن کد موجود است. اینکه آیا عمل کپی و چسباندن یک کد باید مجاز باشد یا خیر، به دلیل مزایا و معایب آن قابل بحث است، اما واقعیتی که همه ما می توانیم روی آن اتفاق نظر داشته باشیم این است که خطاهای ایجاد شده توسط یک کد کپی شده اصلاح نشده می تواند منجر به موقعیت های جدی شود. وقتی صحبت از اکوسیستم کریپتو و دیفای به میان میآید، ریسکها حتی بیشتر است.
DeFi یک فضای درهم است. برای همه رایگان است، نه تنها از نظر دسترسی، بلکه از نظر اجرای فناوری. بیشتر پروتکلها و ایدههای DeFi منبع باز هستند تا هر کسی بتواند کمک کند، اما به همین دلیل تبدیل به یک شمشیر دو لبه شده است. یک طرف کمپ به پروژه های DeFi کمک می کند تا بهتر شوند در حالی که طرف دیگر پروژه ها و کدها را برای توسعه راه حل خود کپی می کند.
چه چیزی اپل را به یک شرکت موفق تبدیل کرد؟ استیو جابز می دانست که رنگ آمیزی پشت حصار به اندازه نقاشی جلوی حصار مهم است حتی اگر هیچ کس دیگری آن را نبیند. نه تنها کیفیت، بلکه منحصر به فرد بودن نیز نقش مهمی در ایجاد یک پایگاه طرفداران وفادار دارد.
اما حتی فراتر از فاکتور منحصر به فرد، چیزی که فضای DeFi نتوانسته است متوجه شود این است که کدی که آنها کپی می کنند به خودی خود کامل نیست. هر پروتکل DeFi به سرعت در حال تکامل است و خودش را بررسی می کند. بنابراین، هر پروتکل موجود ممکن است برخی از اشکالات جدید را کشف کند. حتی اگر کد به خوبی بررسی شده باشد، اشکالات جدید می توانند آشکار شوند و یک پروتکل تنها در صورتی می تواند از چنین اشکالاتی ایمن شود که مفهوم اصلی آن توسط یک تیم اصلی پیاده سازی شده باشد.
خطرات کپی پیست در دیفای
به خصوص برای فضای DeFi، یک کد کپی شده می تواند منجر به خسارات مالی زیادی شود. علاوه بر آن، اکثر کپی پیست ها به دلیل دانش محدود فرد کپی کننده، کیفیت پایینی دارند که منجر به اتلاف وقت، تغییرات ناخواسته و مهمتر از همه حملات هکری می شود.
مدتی پیش، صنعت DeFi با اخباری مبنی بر پروتکل DeFi زنجیره هوشمند Binance مواجه شد Pancake Bunny مورد سوء استفاده قرار گرفته است با یک حمله وام فوری، در نتیجه، تصور می شد که جامعه با یک میلیارد دلار ضرر مواجه شده است.
قبل از انتخاب محصول DeFi، بررسی کیفیت و منحصر به فرد بودن کد بسیار ضروری است. یک نگاه توسط یک متخصص در این فضا به راحتی می تواند تشخیص دهد که کد کپی شده است یا خیر.
درک این نکته بسیار مهم است که با کپی کردن یک کد، توسعهدهندگان نه تنها دادهها را کپی میکنند، بلکه باگها و آسیبپذیریها را نیز کپی میکنند. علاوه بر این، زمانی که برنامه نویسان سعی می کنند کد را کپی کنند، معنای ظریف تری می تواند ظاهر شود. جای تعجب نیست که صنعت DeFI با حملات هکرهای زیادی روبرو شد که اکثر آنها موفقیت آمیز بودند. از سال 2019، حملات هکرها حدود 285 میلیون دلار ضرر کرده است.
منبع: Atlas VPN
از این رو، اولین درس آموخته شده این است که "همیشه کد را بررسی کنید". حتی اگر صاحب محصول هستید، باید کد در حال توسعه توسط تیم خود را بررسی کنید.
Forewarned forearmed است - اگر بدانید به دنبال چه هستید، می توانید شانس سوء استفاده کلاهبرداران از محصول شما را کاهش دهید. یکی از چیزهای خوب در مورد جامعه DeFi این است که حتی اگر نحوه کدنویسی را بلد نباشید، پروژه یک کد باز در اطراف خود دارد و اگر مردم آن را جالب بدانند، جامعه مطمئناً تحقیق خواهد کرد و نتایج را با بقیه به اشتراک خواهد گذاشت. از مردم
اکثر توسعه دهندگان با این واقعیت موافق هستند که کپی و چسباندن کدها به طور کلی یک عمل بد است. این امر متداول است زیرا تغییر کد یا ایجاد کد جدید مستلزم زمان، تلاش و هزینه است.
این لزوماً به این معنی نیست که استفاده مجدد از کد بد است. یک کد را می توان مجددا استفاده کرد و باید در هر کجا که مناسب باشد مجددا استفاده شود زیرا باعث صرفه جویی در زمان و تلاش می شود. با این حال، این کد پس از اصلاحات باید به صورت حرفه ای بررسی شود.
دلایل اجتناب از کپی پیست در دیفای
در زیر چند دلیل دیگر برای جلوگیری از کپی پیست در فضای DeFi ذکر شده است:
استفاده مجدد ضعیف
هر کدی وابستگی های خاص خود را دارد. حتی اگر عمومی باشند، نسخه وابستگیها، کتابخانهها، زبانها و خود کد همچنان به روز میشوند. این بدان معناست که حتی اگر آخرین کد را کپی کنید، استفاده مجدد از آن هر چقدر هم که در کپی کردن مهارت داشته باشید ضعیف خواهد بود.
به ارث بردن آسیب پذیری ها
همیشه یک سکه دو روی است. اگر می خواهید سود یک پروژه را به ارث ببرید، باید زیان را نیز به ارث ببرید. رایج ترین مشکل کپی کردن کد، کپی کردن مشکلات ذاتی کد اصلی است. بدترین بخش این است که کد کپی شده برای هدف خاص خود اصلاح می شود و از این رو ردیابی باگ دشوارتر می شود. حتی از منظر حسابرسی، ممیزی کد کپی شده با تغییرات اندک حتی دشوارتر می شود.
معرفی خطاهای جدید
اگر کدی را کپی می کنید، به احتمال زیاد می خواهید زمان کوتاهی به بازار داشته باشید تا زمانی برای درک کدهای درون و بیرون نداشته باشید. هر تغییر جدیدی که انجام دهید احتمال بسیار بالایی دارد که منجر به آسیب پذیری جدیدی شود که به راحتی قابل شناسایی نیست زیرا ممکن است با عملکردهای کد موجود ارتباط داشته باشد.
به عبارت دیگر، ویرایش ها بدون درک کد اصلی انجام می شود و آن را مستعد خطا می کند.
مسائل مربوط به صدور مجوز
کپی و جایگذاری کدها از پروژههای منبع باز آسان است، اما درک نکردن مفاهیم مجوز کد کپیشده میتواند مشکلساز باشد، حتی بیشتر برای دستگاههای تعبیهشده که در آنها نرمافزار داخلی بهعنوان جدید و منحصربهفرد در نظر گرفته میشود.
نمونه های دنیای واقعی تهدید کپی-پیست
DeFi از شیوه های وحشتناک کپی پیست بی نصیب نمی ماند. پروژههای DeFi وجود دارند که کدهای قرارداد هوشمند Uniswap، Compound و سایر پروتکلهای موفق را کپی و جایگذاری میکنند. وحشتناک تر از چنین عملی این است که آنها اغلب آن را با خطا کپی می کنند - کار مهاجمان را یک تکه کیک می کنند!
یکی از نمونههای بسیار اخیر چنین حملهای، «اورانیوم فاینانس» مبتنی بر BSC بود، این فورک Uniswap V2 بود که در 28 آوریل 2021 مورد سوء استفاده قرار گرفت. 57 میلیون دلار. توسعهدهنده Fulcrum – Kyle Kistner اشاره کرد که توسعهدهندگان Uranium کد SushiSwap (که قبلاً یک شبیهسازی Uniswap بود) را کپی کردند، آنها عدد 1,000 را با 10,000 در همه جا جایگزین کردند - به جز در یک مورد:
منبع: توییتر
نمونه دیگری از خطر کپی پیست، BurgerSwap است که در 28 می 2021 هک شد و زیان تخمینی آن 7.2 میلیون دلار بود.
طبق گفته هایدن آدامز، بنیانگذار Uniswap، به راحتی می شد از آن اجتناب کرد.
همچنین کد Uniswap را فورک کرد، اما در یک قطعه از دست رفت: x*y = k چک، نقش مهمی در محاسبه ارزش هر توکن ایفا کرد. بدون این، مهاجم هر مقدار کمی را با ایجاد یک توکن ساختگی مبادله میکند هزاران BNB و BURGER.
نتیجه
کپی و پیست کردن همه بد نیست. در شرایط خاص، آنها می توانند برای اجرای سریع یک عنصر خاص که قبلاً به درستی ساخته شده است، بسیار مفید باشند. در موارد دیگر، ممکن است به شما کمک کند در وضعیت موجود باقی بمانید و چیزی را که به عنوان راه حل قابل قبول است اجرا کنید.
با این حال، DeFi فضای مناسبی برای آن نیست. حتی اگر فقط چند خط کد وجود دارد که باید تغییر دهید، کپی و جایگذاری توصیه نمی شود. به عنوان متخصص در ممیزی قراردادهای هوشمند، چندین شرکت را دیدهایم که نیتها و دیدگاههای خوبی دارند، به دلیل شکست خوردن چنین شیوه هایی. دلیل اصلی نه تنها آسیب پذیری ها، بلکه عدم توانایی در جلب اعتماد کاربران است. و کل فضای DeFi از نیاز به اعتماد متولد شده است.
حتی اگر به دلیل عوامل و دلایل خاصی تصمیم به کپی پیست دارید، بازرسی کامل کد باید در بالای لیست اولویت شما باشد. حتی اگر کد ممیزی شده باشد، به این معنی نیست که کپی به اندازه کد اصلی امن خواهد بود. به عنوان مثال، اوراکل مورد استفاده در کد اصلی ممکن است به نسخه جدیدی منتقل شده باشد و زمانی که کد را کپی می کنید، آن نسخه جدید اوراکل ممکن است با نسخه قدیمی کد سازگار نباشد و آسیب پذیری معرفی شده است. بنابراین برای اطمینان از اینکه ایده و دیدگاه بلندپروازانه شما از طریق کد DeFi خود به واقعیت تبدیل می شود، آن را ممیزی کنید قبل از اینکه میلیون ها دلار را در معرض خطر قرار دهد.
با QuillHash تماس بگیرید
با حضور در صنعت سالها، QuillHash راه حل های سازمانی را در سراسر جهان ارائه کرده است. QuillHash با تیمی از متخصصان یک شرکت پیشرو در توسعه بلاک چین است که راهحلهای صنعتی مختلف از جمله DeFi را ارائه میکند، اگر در ممیزی قراردادهای هوشمند به کمک نیاز دارید، با کارشناسان ما تماس بگیرید اینجا!
برای به روز رسانی های بیشتر QuillHash را دنبال کنید
منبع: https://blog.quillhash.com/2021/08/04/why-copy-paste-in-defis-are-scarier-than-clowns/
- &
- 000
- 2019
- دسترسی
- مزیت - فایده - سود - منفعت
- معرفی
- اپل
- آوریل
- دور و بر
- حسابرسی
- بیلیون
- بنیان
- بلاکچین
- bnb
- اشکال
- اشکالات
- موارد
- ایجاد می شود
- شانس
- رمز
- سکه
- مشترک
- انجمن
- شرکت
- شرکت
- ترکیب
- قرارداد
- قرارداد
- عضو سازمانهای سری ومخفی
- داده ها
- DEFI
- توسعه
- توسعه دهنده
- توسعه دهندگان
- پروژه
- دستگاه ها
- دلار
- اکوسیستم
- سرمایه گذاری
- کارشناسان
- چهره
- فیس بوک
- مالی
- نام خانوادگی
- چنگال
- فرم
- موسس
- رایگان
- سوالات عمومی
- خوب
- هکر
- زیاد
- چگونه
- چگونه
- HTTPS
- بزرگ
- اندیشه
- شناسایی
- از جمله
- صنعت
- IT
- شغل ها
- دانش
- زبان ها
- آخرین
- رهبری
- برجسته
- آموخته
- مجوز
- سبک
- محدود شده
- لینک
- فهرست
- عمده
- ساخت
- بازار
- الگوهای رفتاری
- میلیون
- پول
- اخبار
- باز کن
- منبع باز
- وحی
- دیگر
- مالک
- مردم
- چشم انداز
- فقیر
- محصول
- پروژه
- پروژه ها
- کیفیت
- واقعیت
- دلایل
- تحقیق
- REST
- نتایج
- ناظران
- تیم امنیت لاتاری
- معنایی
- خدمات
- اشتراک گذاری
- کوتاه
- کوچک
- هوشمند
- قرارداد هوشمند
- قراردادهای هوشمند
- So
- نرم افزار
- مزایا
- فضا
- خرج کردن
- سهام
- وضعیت
- ماندن
- موفق
- تعجب
- سیستم
- پیشرفته
- زمان
- رمز
- بالا
- پیگردی
- اعتماد
- لغو کردن
- us
- کاربران
- ارزش
- دید
- آسیب پذیری ها
- آسیب پذیری
- کلمات
- مهاجرت کاری
- سال