چرا کپی پیست در DeFis از دلقک ها ترسناک تر است؟

ما سالهاست که جوک کپی پیست می کنیم. تمام میم های CTRL + C و CTRL + V را به خاطر دارید؟ خوب، آنها به دنبال ما آمده اند زیرا ما از آنها برای هدف اشتباه استفاده کرده ایم. 

مخصوص صنعت IT، کپی و چسباندن شکل قدیمی و رایج استفاده مجدد از نرم افزار است. اکثر مردم این کار را برای صرفه جویی در زمان و تلاش انجام می دهند، دیگران از آن استفاده می کنند زیرا نمی خواهند زمان خود را صرف انجام آن کنند، هر دو در نهایت با عواقب مواجه می شوند. 

از میان انبوهی از ایرادات، برجسته‌ترین آنها تکرار باگ‌ها و آسیب‌پذیری‌های امنیتی در سراسر سیستم هنگام کپی کردن کد موجود است. اینکه آیا عمل کپی و چسباندن یک کد باید مجاز باشد یا خیر، به دلیل مزایا و معایب آن قابل بحث است، اما واقعیتی که همه ما می توانیم روی آن اتفاق نظر داشته باشیم این است که خطاهای ایجاد شده توسط یک کد کپی شده اصلاح نشده می تواند منجر به موقعیت های جدی شود. وقتی صحبت از اکوسیستم کریپتو و دی‌فای به میان می‌آید، ریسک‌ها حتی بیشتر است. 

DeFi یک فضای درهم است. برای همه رایگان است، نه تنها از نظر دسترسی، بلکه از نظر اجرای فناوری. بیشتر پروتکل‌ها و ایده‌های DeFi منبع باز هستند تا هر کسی بتواند کمک کند، اما به همین دلیل تبدیل به یک شمشیر دو لبه شده است. یک طرف کمپ به پروژه های DeFi کمک می کند تا بهتر شوند در حالی که طرف دیگر پروژه ها و کدها را برای توسعه راه حل خود کپی می کند. 

چه چیزی اپل را به یک شرکت موفق تبدیل کرد؟ استیو جابز می دانست که رنگ آمیزی پشت حصار به اندازه نقاشی جلوی حصار مهم است حتی اگر هیچ کس دیگری آن را نبیند. نه تنها کیفیت، بلکه منحصر به فرد بودن نیز نقش مهمی در ایجاد یک پایگاه طرفداران وفادار دارد.  

اما حتی فراتر از فاکتور منحصر به فرد، چیزی که فضای DeFi نتوانسته است متوجه شود این است که کدی که آنها کپی می کنند به خودی خود کامل نیست. هر پروتکل DeFi به سرعت در حال تکامل است و خودش را بررسی می کند. بنابراین، هر پروتکل موجود ممکن است برخی از اشکالات جدید را کشف کند. حتی اگر کد به خوبی بررسی شده باشد، اشکالات جدید می توانند آشکار شوند و یک پروتکل تنها در صورتی می تواند از چنین اشکالاتی ایمن شود که مفهوم اصلی آن توسط یک تیم اصلی پیاده سازی شده باشد. 

خطرات کپی پیست در دیفای

به خصوص برای فضای DeFi، یک کد کپی شده می تواند منجر به خسارات مالی زیادی شود. علاوه بر آن، اکثر کپی پیست ها به دلیل دانش محدود فرد کپی کننده، کیفیت پایینی دارند که منجر به اتلاف وقت، تغییرات ناخواسته و مهمتر از همه حملات هکری می شود. 

مدتی پیش، صنعت DeFi با اخباری مبنی بر پروتکل DeFi زنجیره هوشمند Binance مواجه شد Pancake Bunny مورد سوء استفاده قرار گرفته است با یک حمله وام فوری، در نتیجه، تصور می شد که جامعه با یک میلیارد دلار ضرر مواجه شده است. 

قبل از انتخاب محصول DeFi، بررسی کیفیت و منحصر به فرد بودن کد بسیار ضروری است. یک نگاه توسط یک متخصص در این فضا به راحتی می تواند تشخیص دهد که کد کپی شده است یا خیر. 

درک این نکته بسیار مهم است که با کپی کردن یک کد، توسعه‌دهندگان نه تنها داده‌ها را کپی می‌کنند، بلکه باگ‌ها و آسیب‌پذیری‌ها را نیز کپی می‌کنند. علاوه بر این، زمانی که برنامه نویسان سعی می کنند کد را کپی کنند، معنای ظریف تری می تواند ظاهر شود. جای تعجب نیست که صنعت DeFI با حملات هکرهای زیادی روبرو شد که اکثر آنها موفقیت آمیز بودند. از سال 2019، حملات هکرها حدود 285 میلیون دلار ضرر کرده است. 

منبع: Atlas VPN

از این رو، اولین درس آموخته شده این است که "همیشه کد را بررسی کنید". حتی اگر صاحب محصول هستید، باید کد در حال توسعه توسط تیم خود را بررسی کنید. 

Forewarned forearmed است - اگر بدانید به دنبال چه هستید، می توانید شانس سوء استفاده کلاهبرداران از محصول شما را کاهش دهید. یکی از چیزهای خوب در مورد جامعه DeFi این است که حتی اگر نحوه کدنویسی را بلد نباشید، پروژه یک کد باز در اطراف خود دارد و اگر مردم آن را جالب بدانند، جامعه مطمئناً تحقیق خواهد کرد و نتایج را با بقیه به اشتراک خواهد گذاشت. از مردم 

اکثر توسعه دهندگان با این واقعیت موافق هستند که کپی و چسباندن کدها به طور کلی یک عمل بد است. این امر متداول است زیرا تغییر کد یا ایجاد کد جدید مستلزم زمان، تلاش و هزینه است. 

این لزوماً به این معنی نیست که استفاده مجدد از کد بد است. یک کد را می توان مجددا استفاده کرد و باید در هر کجا که مناسب باشد مجددا استفاده شود زیرا باعث صرفه جویی در زمان و تلاش می شود. با این حال، این کد پس از اصلاحات باید به صورت حرفه ای بررسی شود. 

دلایل اجتناب از کپی پیست در دیفای

در زیر چند دلیل دیگر برای جلوگیری از کپی پیست در فضای DeFi ذکر شده است:

استفاده مجدد ضعیف

هر کدی وابستگی های خاص خود را دارد. حتی اگر عمومی باشند، نسخه وابستگی‌ها، کتابخانه‌ها، زبان‌ها و خود کد همچنان به روز می‌شوند. این بدان معناست که حتی اگر آخرین کد را کپی کنید، استفاده مجدد از آن هر چقدر هم که در کپی کردن مهارت داشته باشید ضعیف خواهد بود. 

به ارث بردن آسیب پذیری ها

همیشه یک سکه دو روی است. اگر می خواهید سود یک پروژه را به ارث ببرید، باید زیان را نیز به ارث ببرید. رایج ترین مشکل کپی کردن کد، کپی کردن مشکلات ذاتی کد اصلی است. بدترین بخش این است که کد کپی شده برای هدف خاص خود اصلاح می شود و از این رو ردیابی باگ دشوارتر می شود. حتی از منظر حسابرسی، ممیزی کد کپی شده با تغییرات اندک حتی دشوارتر می شود. 

معرفی خطاهای جدید

اگر کدی را کپی می کنید، به احتمال زیاد می خواهید زمان کوتاهی به بازار داشته باشید تا زمانی برای درک کدهای درون و بیرون نداشته باشید. هر تغییر جدیدی که انجام دهید احتمال بسیار بالایی دارد که منجر به آسیب پذیری جدیدی شود که به راحتی قابل شناسایی نیست زیرا ممکن است با عملکردهای کد موجود ارتباط داشته باشد. 

به عبارت دیگر، ویرایش ها بدون درک کد اصلی انجام می شود و آن را مستعد خطا می کند.

مسائل مربوط به صدور مجوز

کپی و جای‌گذاری کدها از پروژه‌های منبع باز آسان است، اما درک نکردن مفاهیم مجوز کد کپی‌شده می‌تواند مشکل‌ساز باشد، حتی بیشتر برای دستگاه‌های تعبیه‌شده که در آن‌ها نرم‌افزار داخلی به‌عنوان جدید و منحصربه‌فرد در نظر گرفته می‌شود.

نمونه های دنیای واقعی تهدید کپی-پیست

DeFi از شیوه های وحشتناک کپی پیست بی نصیب نمی ماند. پروژه‌های DeFi وجود دارند که کدهای قرارداد هوشمند Uniswap، Compound و سایر پروتکل‌های موفق را کپی و جای‌گذاری می‌کنند. وحشتناک تر از چنین عملی این است که آنها اغلب آن را با خطا کپی می کنند - کار مهاجمان را یک تکه کیک می کنند!

یکی از نمونه‌های بسیار اخیر چنین حمله‌ای، «اورانیوم فاینانس» مبتنی بر BSC بود، این فورک Uniswap V2 بود که در 28 آوریل 2021 مورد سوء استفاده قرار گرفت. 57 میلیون دلار. توسعه‌دهنده Fulcrum – Kyle Kistner اشاره کرد که توسعه‌دهندگان Uranium کد SushiSwap (که قبلاً یک شبیه‌سازی Uniswap بود) را کپی کردند، آنها عدد 1,000 را با 10,000 در همه جا جایگزین کردند - به جز در یک مورد:

منبع: توییتر

نمونه دیگری از خطر کپی پیست، BurgerSwap است که در 28 می 2021 هک شد و زیان تخمینی آن 7.2 میلیون دلار بود.    

طبق گفته هایدن آدامز، بنیانگذار Uniswap، به راحتی می شد از آن اجتناب کرد.

همچنین کد Uniswap را فورک کرد، اما در یک قطعه از دست رفت: x*y = k چک، نقش مهمی در محاسبه ارزش هر توکن ایفا کرد. بدون این، مهاجم هر مقدار کمی را با ایجاد یک توکن ساختگی مبادله می‌کند هزاران BNB و BURGER.    

نتیجه

کپی و پیست کردن همه بد نیست. در شرایط خاص، آنها می توانند برای اجرای سریع یک عنصر خاص که قبلاً به درستی ساخته شده است، بسیار مفید باشند. در موارد دیگر، ممکن است به شما کمک کند در وضعیت موجود باقی بمانید و چیزی را که به عنوان راه حل قابل قبول است اجرا کنید. 

با این حال، DeFi فضای مناسبی برای آن نیست. حتی اگر فقط چند خط کد وجود دارد که باید تغییر دهید، کپی و جایگذاری توصیه نمی شود. به عنوان متخصص در ممیزی قراردادهای هوشمند، چندین شرکت را دیده‌ایم که نیت‌ها و دیدگاه‌های خوبی دارند، به دلیل شکست خوردن چنین شیوه هایی. دلیل اصلی نه تنها آسیب پذیری ها، بلکه عدم توانایی در جلب اعتماد کاربران است. و کل فضای DeFi از نیاز به اعتماد متولد شده است.

حتی اگر به دلیل عوامل و دلایل خاصی تصمیم به کپی پیست دارید، بازرسی کامل کد باید در بالای لیست اولویت شما باشد. حتی اگر کد ممیزی شده باشد، به این معنی نیست که کپی به اندازه کد اصلی امن خواهد بود. به عنوان مثال، اوراکل مورد استفاده در کد اصلی ممکن است به نسخه جدیدی منتقل شده باشد و زمانی که کد را کپی می کنید، آن نسخه جدید اوراکل ممکن است با نسخه قدیمی کد سازگار نباشد و آسیب پذیری معرفی شده است. بنابراین برای اطمینان از اینکه ایده و دیدگاه بلندپروازانه شما از طریق کد DeFi خود به واقعیت تبدیل می شود، آن را ممیزی کنید قبل از اینکه میلیون ها دلار را در معرض خطر قرار دهد.

با QuillHash تماس بگیرید

با حضور در صنعت سالها، QuillHash راه حل های سازمانی را در سراسر جهان ارائه کرده است. QuillHash با تیمی از متخصصان یک شرکت پیشرو در توسعه بلاک چین است که راه‌حل‌های صنعتی مختلف از جمله DeFi را ارائه می‌کند، اگر در ممیزی قراردادهای هوشمند به کمک نیاز دارید، با کارشناسان ما تماس بگیرید اینجا!

برای به روز رسانی های بیشتر QuillHash را دنبال کنید

توییتر | لینک | فیس بوک

منبع: https://blog.quillhash.com/2021/08/04/why-copy-paste-in-defis-are-scarier-than-clowns/