Olemme tehneet copy-paste vitsejä jo vuosia. Muistatko kaikki CTRL + C- ja CTRL + V -meemit? He ovat tulleet ahdistamaan meitä, koska olemme käyttäneet niitä väärään tarkoitukseen.
IT -teollisuudelle kopiointi ja liittäminen ovat vanha ja yleinen ohjelmistojen uudelleenkäyttömuoto. Useimmat ihmiset tekevät sen säästääkseen aikaa ja vaivaa, toiset käyttävät sitä, koska he eivät halua käyttää aikaa itse tekemiseen, molemmat kohtaavat lopulta seuraukset.
Lukuisista haitoista merkittävin on virheiden ja tietoturva -aukkojen monistaminen koko järjestelmässä, kun kopioit olemassa olevan koodin. Onko koodin kopioinnin ja liittämisen käytäntö sallittu vai ei, sen kiistojen ja haittojen vuoksi voidaan kiistellä, mutta tästä tosiasiasta voimme kaikki olla samaa mieltä siitä, että muokkaamattoman kopioidun koodin aiheuttamat virheet voivat johtaa vakaviin tilanteisiin. Panokset ovat vielä suurempia, kun kyse on salaus- ja DeFi -ekosysteemistä.
DeFi on sekava tila. Se on ilmainen kaikille, ei vain pääsyn, vaan myös tekniikan toteutuksen kannalta. Useimmat DeFi-protokollat ja -ideat ovat avoimen lähdekoodin, joten kuka tahansa voi auttaa, mutta tästä syystä siitä on tullut kaksiteräinen miekka. Leirin toinen puoli auttaa DeFi -projekteja parantumaan, kun taas toinen puoli kopioi hankkeet ja koodit oman ratkaisunsa kehittämiseksi.
Mikä teki Applesta menestyvän yrityksen? Steve Jobs tiesi, että aidan takaosan maalaaminen on yhtä tärkeää kuin edestä, vaikka kukaan muukaan ei sitä näkisi. Laadun lisäksi myös ainutlaatuisuudella on tärkeä rooli uskollisen fanijoukon luomisessa.
Mutta ainutlaatuisuustekijän lisäksi DeFi -tila ei ole ymmärtänyt, että heidän kopioimansa koodi ei ole täydellinen. Jokainen DeFi -protokolla kehittyy nopeasti ja tutkii itseään. Siksi jokainen protokolla voi löytää uusia virheitä. Vaikka koodi on hyvin auditoitu, uusia virheitä voi tulla esiin ja protokolla voidaan suojata tällaisilta virheiltä vain, jos sen ydinryhmä toteuttaa alkuperäisen konseptin.
Vaarat kopioida ja liittää DeFi: ssä
Erityisesti DeFi -tilan kopioitu koodi voi aiheuttaa suuria taloudellisia menetyksiä. Lisäksi useimmat copy-paste-tiedostot ovat huonolaatuisia, koska kopiointihenkilöstön tiedot ovat rajalliset, mikä johtaa ajanhukkaan, ei-toivottuihin muutoksiin ja ennen kaikkea hakkerihyökkäyksiin.
Jokin aika sitten DeFi -teollisuutta iski uutinen Binance Smart Chain DeFi -protokollasta Pannukakku on käytetty hyväksi flash-lainahyökkäyksen seurauksena yhteisön uskottiin kärsineen miljardin dollarin tappiosta.
Ennen kuin valitset DeFi -tuotteen, on erittäin tärkeää tarkistaa koodin laatu ja ainutlaatuisuus. Yksi ammattilaisen katse tällä alalla voi helposti tunnistaa, onko koodi kopioitu vai ei.
On erittäin tärkeää ymmärtää, että kopioimalla koodin kehittäjät eivät ainoastaan kopioi tietoja vaan myös kopioivat vikoja ja haavoittuvuuksia. Lisäksi, kun ohjelmoijat yrittävät kopioida koodin, voi syntyä hienovaraisempaa semantiikkaa. Ei ole yllätys, että DeFI -teollisuus kohtasi niin monia hakkerihyökkäyksiä, joista suurin osa onnistui. Vuodesta 2019 lähtien hakkerit ovat aiheuttaneet noin 285 miljoonan dollarin tappiot.
Lähde: AtlasVPN
Näin ollen ensimmäinen oppitunti on ”tarkistaa aina koodi”. Vaikka olisit tuotteen omistaja, sinun on tarkistettava tiimisi kehittämä koodi.
Forewarned on ennakkovarmennettu- jos tiedät mitä etsit, voit vähentää huijareiden mahdollisuuksia hyödyntää tuotettasi. Yksi monista hyvistä asioista DeFi -yhteisössä on se, että vaikka et osaa koodata, projektin ympärillä on avoin koodi ja jos ihmiset pitävät sitä mielenkiintoisena, yhteisö tekee varmasti tutkimusta ja jakaa tulokset muiden kanssa ihmisistä.
Useimmat kehittäjät ovat samaa mieltä siitä, että koodien kopioiminen ja liittäminen on yleisesti huono käytäntö. Se on yleistä, koska koodin muuttaminen tai uuden tekeminen vie aikaa, vaivaa ja rahaa.
Tämä ei välttämättä tarkoita, että koodin uudelleenkäyttö olisi huono asia. Koodia voidaan käyttää uudelleen ja sitä on käytettävä aina, kun se on sopivaa, koska se säästää aikaa ja vaivaa. Tämä koodi on kuitenkin auditoitava ammattimaisesti muutosten jälkeen.
Syitä välttää copy-paste DeFi -palvelussa
Seuraavassa on muutamia muita syitä, miksi kopiointia ei tulisi välttää DeFi -tilassa:
Huono uudelleenkäyttö
Jokaisella koodilla on omat riippuvuutensa. Vaikka ne olisivat yleisiä, riippuvuuksien, kirjastojen, kielten ja itse koodin versio päivittyy jatkuvasti. Tämä tarkoittaa sitä, että vaikka kopioit uusimman koodin, uudelleenkäyttö on heikkoa riippumatta siitä, kuinka hyvä olet kopioinnissa.
Haavoittuvuuksien periminen
Kolikolla on aina kaksi puolta. Jos haluat periä hankkeen voitot, sinun on myös perittävä tappiot. Yleisin ongelma koodin kopioimisessa on alkuperäiseen koodiin liittyvien ongelmien kopioiminen. Pahinta on, että kopioitua koodia muutetaan sen erityistä tarkoitusta varten ja siten virheen jäljittäminen vaikeutuu. Jopa auditoinnin näkökulmasta kopioitu koodi pienillä muutoksilla on vielä vaikeampaa auditoida.
Esittelemme uusia virheitä
Jos kopioit koodia, haluat todennäköisesti lyhyen markkina -ajan, jotta sinulla ei ole aikaa ymmärtää koodia sisään ja ulos. Kaikki tekemäsi uudet muutokset johtavat suurella todennäköisyydellä uuteen haavoittuvuuteen, jota ei voida helposti tunnistaa, koska sillä voi olla yhteyksiä olemassa oleviin kooditoimintoihin.
Toisin sanoen muokkaukset tehdään ymmärtämättä alkuperäistä koodia, mikä tekee siitä alttiimman virheille.
Lisenssiasiat
Koodien kopioiminen ja liittäminen avoimen lähdekoodin projekteista on helppoa, mutta kopioidun koodin lisenssivaikutusten ymmärtäminen voi olla ongelma, etenkin sulautetuissa laitteissa, joissa sisäistä ohjelmistoa pidetään uutena ja ainutlaatuisena.
Tosielämän esimerkkejä kopiointi-liitä uhasta
DeFi ei jää koskematta kopiointiliiman kauheille käytännöille. Jotkut DeFi -projektit kopioivat ja liittävät Uniswap-, Compound- ja muiden onnistuneiden protokollien älykkäät sopimuskoodit. Pahinta tällaisessa käytännössä on, että he usein kopioivat sen virhein - tekevät hyökkääjien työstä kakkua!
Yksi viimeaikaisista esimerkeistä tällaisesta hyökkäyksestä oli BSC -pohjainen Uranium Finance, tämä oli Uniswap V2 -haarukka, jota hyödynnettiin 28. huhtikuuta 2021 $ 57 euroa. Fulcrum -kehittäjä - Kyle Kistner huomautti, että Uranium -kehittäjät kopioivat SushiSwap -koodin (joka on jo Uniswap -klooni), ja he korvasivat numeron 1,000 10,000 XNUMX: lla kaikkialla - paitsi yhdessä tapauksessa:
Lähde: jaa
Toinen esimerkki copy-paste-vaarasta on BurgerSwap, joka on hakkeroitu 28. toukokuuta 2021 ja jonka arvioitu menetys on 7.2 miljoonaa dollaria.
"Uniswapin perustajan Hayden Adamsin mukaan se olisi voitu helposti välttää."
Se haarukoi myös Uniswap -koodin, mutta jäi huomaamatta: x*y = k -tarkistus, sillä oli tärkeä rooli kunkin tunnuksen arvon laskemisessa. Ilman tätä hyökkääjä vaihtoi jokaisen pienen summan luomalla dummy -tunnuksen tuhansia BNB & BURGER.
Yhteenveto
Kopioiminen ja liittäminen eivät ole kaikki pahoja. Tietyissä tilanteissa ne voivat olla erittäin hyödyllisiä hankkeelle toteuttaa nopeasti tietty elementti, joka on jo rakennettu oikein. Muissa tapauksissa se voi myös auttaa sinua pysymään nykyisessä tilanteessa ja toteuttamaan ratkaisuksi hyväksyttävän asian.
DeFi ei kuitenkaan ole oikea tila sille. Vaikka koodia on vain muutama rivi, joita sinun on muokattava, kopiointia ja liittämistä ei suositella. Älykkään sopimustarkastuksen asiantuntijana olemme nähneet useiden yritysten, joilla on hyvät aikomukset ja visio, epäonnistumaan tällaisia käytäntöjä. Tärkein syy ei ole vain haavoittuvuus, vaan kyvyttömyys saada käyttäjien luottamus. Ja koko DeFi -tila syntyy luottamuksen tarpeesta.
Vaikka päätätkin käyttää copy-pastea tiettyjen tekijöiden ja perustelujen vuoksi, koodin perusteellisen auditoinnin pitäisi olla prioriteettiluettelosi kärjessä. Vaikka koodi olisi auditoitu, se ei tarkoita, että kopio olisi yhtä suojattu kuin alkuperäinen koodi. Esimerkiksi alkuperäisessä koodissa käytetty oraakkeli on saattanut siirtyä uuteen versioon, ja kun kopioit koodin, kyseinen uusi versio ei välttämättä ole yhteensopiva koodin vanhan version kanssa ja haavoittuvuus otetaan käyttöön. Varmistaaksesi, että kunnianhimoinen ideasi ja visiosi toteutuvat DeFi -koodisi avulla, auditoida ennen kuin panostetaan miljoonia dollareita.
Tavoita QuillHash
Alalla on ollut vuosia QuillHash on toimittanut yritysratkaisuja ympäri maailmaa. QuillHash asiantuntijaryhmän kanssa on johtava blockchain-kehitysyritys, joka tarjoaa erilaisia teollisuuden ratkaisuja, mukaan lukien DeFi-yritys. Jos tarvitset apua älykkäiden sopimusten tarkastuksessa, ota rohkeasti yhteyttä asiantuntijoihimme täällä!
Seuraa QuillHashia saadaksesi lisää päivityksiä
Lähde: https://blog.quillhash.com/2021/08/04/why-copy-paste-in-defis-are-scarier-than-clowns/
- &
- 000
- 2019
- pääsy
- Etu
- Kaikki
- omena
- huhtikuu
- noin
- tilintarkastus
- Miljardi
- binance
- blockchain
- BnB
- Vika
- Bugs
- tapauksissa
- aiheutti
- mahdollisuudet
- koodi
- Kolikko
- Yhteinen
- yhteisö
- Yritykset
- yritys
- Yhdiste
- sopimus
- sopimukset
- Crypto
- tiedot
- defi
- kehittää
- Kehittäjä
- kehittäjille
- Kehitys
- Laitteet
- dollaria
- ekosysteemi
- yritys
- asiantuntijat
- Kasvot
- taloudellinen
- Etunimi
- haarukka
- muoto
- perustaja
- Ilmainen
- general
- hyvä
- hakkeri
- Korkea
- Miten
- Miten
- HTTPS
- valtava
- ajatus
- tunnistaa
- Mukaan lukien
- teollisuus
- IT
- Työpaikat
- tuntemus
- kielet
- uusin
- johtaa
- johtava
- oppinut
- Lisenssi
- valo
- rajallinen
- Lista
- merkittävä
- Tekeminen
- markkinat
- meemit
- miljoona
- raha
- uutiset
- avata
- avoimen lähdekoodin
- oraakkeli
- Muut
- omistaja
- Ihmiset
- näkökulma
- kehno
- Tuotteet
- projekti
- hankkeet
- laatu
- Todellisuus
- syistä
- tutkimus
- REST
- tulokset
- Huijarit
- turvallisuus
- semantiikka
- Palvelut
- Jaa:
- Lyhyt
- pieni
- fiksu
- älykäs sopimus
- Smart-sopimukset
- So
- Tuotteemme
- Ratkaisumme
- Tila
- viettää
- osuus
- Tila
- pysyä
- onnistunut
- yllätys
- järjestelmä
- Elektroniikka
- aika
- symbolinen
- ylin
- Seuranta
- Luottamus
- Uniswap
- us
- Käyttäjät
- arvo
- visio
- haavoittuvuuksia
- alttius
- sanoja
- Referenssit
- vuotta
![Kuinka tunnistaa Cryptojacking-hyökkäys? [Ennaltaehkäisyllä ja ratkaisuilla] PlatoBlockchain Data Intelligence. Pystysuuntainen haku. Ai.](https://platoblockchain.com/wp-content/uploads/2021/07/how-to-detect-cryptojacking-attack-with-prevention-and-solutions-300x37.jpg "Kuinka Cryptojacking-hyökkäys havaitaan? [Ennaltaehkäisyllä ja ratkaisuilla]")
