Nous faisons des blagues copier-coller depuis des années. Vous vous souvenez de tous les mèmes de CTRL + C et CTRL + V ? Eh bien, ils sont venus nous hanter parce que nous les utilisons à mauvais escient.
Spécifique à l'industrie informatique, le copier-coller est une forme ancienne et courante de réutilisation de logiciels. La plupart des gens le font pour gagner du temps et des efforts, d'autres l'utilisent parce qu'ils ne veulent pas passer du temps à le faire eux-mêmes, les deux finissent par en subir les conséquences.
Parmi une pléthore d'inconvénients, le plus important est la duplication de bogues et de vulnérabilités de sécurité dans tout le système lorsque vous copiez un code existant. La question de savoir si la pratique de copier-coller un code doit être autorisée ou non est discutable en raison de ses avantages et de ses inconvénients, mais nous pouvons tous convenir que les erreurs introduites par un code copié non modifié peuvent conduire à des situations graves. Les enjeux sont encore plus importants en ce qui concerne l'écosystème crypto et DeFi.
DeFi est un espace enchevêtré. C'est gratuit pour tous, non seulement en termes d'accès mais aussi en termes de mise en œuvre de la technologie. La plupart des protocoles et des idées DeFi sont open source afin que tout le monde puisse aider, mais à cause de cela, il est devenu une épée à double tranchant. Un côté du camp aide les projets DeFi à s'améliorer tandis que l'autre copie les projets et le code pour développer leur propre solution.
Qu'est-ce qui a fait d'Apple une entreprise prospère ? Steve Jobs savait que peindre l'arrière de la clôture est aussi important que peindre l'avant, même si personne d'autre ne le verra. Non seulement la qualité mais aussi l'unicité jouent un rôle majeur pour créer une base de fans fidèles.
Mais même au-delà du facteur d'unicité, ce que l'espace DeFi n'a pas réalisé, c'est que le code qu'ils copient n'est pas lui-même complet. Chaque protocole DeFi évolue rapidement et s'explore lui-même. Par conséquent, chaque protocole peut découvrir de nouveaux bogues. Même si le code est bien audité, de nouveaux bogues peuvent apparaître et un protocole ne peut être protégé contre de tels bogues que s'il a le concept original mis en œuvre par une équipe principale.
Les périls du copier-coller dans DeFi
Surtout pour l'espace DeFi, un code copié peut entraîner d'énormes pertes financières. En plus de cela, la plupart des copier-coller sont de mauvaise qualité en raison des connaissances limitées de la personne qui copie, ce qui entraîne une perte de temps, des modifications indésirables et, surtout, des attaques de pirates.
Il y a quelque temps, l'industrie DeFi a été touchée par la nouvelle que le protocole Binance Smart Chain DeFi Pancake Bunny a été exploité par une attaque de prêt éclair, en conséquence, la communauté aurait subi une perte de 1 milliard de dollars.
Avant de choisir le produit DeFi, il est très nécessaire de vérifier la qualité et l'unicité du code. Un regard d'un professionnel dans cet espace permet d'identifier facilement que le code est copié ou non.
Il est très important de comprendre qu'en copiant un code, les développeurs copient non seulement les données mais également les bogues et les vulnérabilités. De plus, lorsque les programmeurs essaient de copier le code, une sémantique plus subtile peut émerger. Il n'est pas surprenant que l'industrie DeFI ait été confrontée à tant d'attaques de pirates informatiques, dont la plupart ont réussi. Depuis 2019, les attaques de pirates informatiques ont causé une perte d'environ 285 millions de dollars.
La source: Atlas VPN
Par conséquent, la première leçon apprise est de « toujours vérifier le code ». Même si vous êtes un Product Owner, vous devez vérifier le code en cours de développement par votre équipe.
Prévenu est prévenu - si vous savez ce que vous recherchez, vous pouvez réduire les chances que les escrocs profitent de votre produit. L'une des nombreuses bonnes choses à propos de la communauté DeFi est que même si vous ne savez pas coder, le projet a un code ouvert autour de lui et si les gens le trouvent intéressant, la communauté mènera sûrement des recherches et partagera les résultats avec le reste. des gens.
La plupart des développeurs seraient d'accord sur le fait que copier et coller des codes est une mauvaise pratique en général. C'est courant car changer le code ou en créer un nouveau demandera du temps, des efforts et de l'argent.
Cela ne signifie pas nécessairement que la réutilisation du code est mauvaise. Un code peut être réutilisé et doit être réutilisé chaque fois que cela est approprié, car il permet d'économiser du temps et des efforts. Cependant, ce code doit être audité de manière professionnelle après modifications.
Raisons d'éviter le copier-coller dans DeFi
Ci-dessous sont mentionnées quelques autres raisons pour lesquelles le copier-coller doit être évité dans l'espace DeFi :
Mauvaise réutilisation
Chaque code a ses propres dépendances. Même s'ils sont génériques, la version des dépendances, des bibliothèques, des langages et du code lui-même continue de se mettre à jour. Cela signifie que même si vous copiez le dernier code, la réutilisation sera médiocre, quelle que soit votre qualité de copie.
Hériter des vulnérabilités
Il y a toujours deux faces à une médaille. Si vous voulez hériter des bénéfices d'un projet, vous devrez également hériter des pertes. Le problème le plus courant de la copie d'un code est de copier les problèmes inhérents au code d'origine. Le pire, c'est que le code copié est modifié pour son objectif spécifique et qu'il devient donc plus difficile de traquer le bogue. Même du point de vue de l'audit, un code copié avec peu de modifications devient encore plus difficile à auditer.
Introduction de nouvelles erreurs
Si vous copiez un code, il est probable que vous souhaitiez un court délai de mise sur le marché afin que vous n'ayez pas le temps de comprendre le code à l'intérieur et à l'extérieur. Toute nouvelle modification que vous effectuez aura une très forte probabilité de conduire à une nouvelle vulnérabilité qui ne peut pas être identifiée facilement car elle peut avoir des liens avec les fonctionnalités du code existant.
En d'autres termes, les modifications sont effectuées sans comprendre le code d'origine, ce qui le rend plus sujet aux erreurs.
Problèmes de licence
Il est facile de copier et coller des codes à partir de projets open source, mais ne pas comprendre les implications de licence du code copié peut être un problème, encore plus pour les appareils embarqués où le logiciel embarqué est considéré comme nouveau et unique.
Exemples réels de la menace copier-coller
DeFi n'est pas épargné par les terribles pratiques du copier-coller. Il existe des projets DeFi qui copient et collent les codes de contrat intelligents d'Uniswap, Compound et d'autres protocoles réussis. Ce qui est encore plus horrible avec une telle pratique, c'est qu'ils la copient souvent avec des erreurs, ce qui rend le travail des attaquants un jeu d'enfant !
L'un des exemples très récents d'une telle attaque était le « financement de l'uranium » basé sur BSC, il s'agissait d'un fork Uniswap V2 qui a été exploité le 28 avril 2021 pour 57 millions de dollars. Développeur Fulcrum - Kyle Kistner a souligné que les développeurs d'Uranium ont copié le code SushiSwap (déjà un clone d'Uniswap), ils ont remplacé le numéro 1,000 10,000 par XNUMX XNUMX partout - sauf dans un cas :
La source : Tweet
Un autre exemple du risque de copier-coller est « BurgerSwap » – piraté le 28 mai 2021 avec une perte estimée à – 7.2 millions de dollars.
« Selon le fondateur d'Uniswap, Hayden Adams, cela aurait pu être facilement évité.
Il a également forké le code d'Uniswap, mais a raté une pièce : x*y = k check, il a joué un rôle important dans le calcul de la valeur de chaque jeton. Sans cela, l'attaquant a échangé chaque petite quantité en créant un jeton factice pour des milliers de BNB & BURGER.
Conclusion
Copier et coller ne sont pas tous mauvais. Dans certaines situations, ils peuvent être très utiles pour qu'un projet implémente rapidement un certain élément qui a déjà été correctement construit. Dans d'autres cas, cela peut également vous aider à maintenir le statu quo et à mettre en œuvre une solution acceptable.
Cependant, DeFi n'est pas le bon espace pour cela. Même s'il n'y a que quelques lignes de codes à modifier, le copier-coller n'est pas recommandé. En tant que spécialistes des audits de contrats intelligents, nous avons vu plusieurs entreprises, ayant de bonnes intentions et de bonnes visions, échouer en raison de de telles pratiques. La raison principale n'étant pas seulement les vulnérabilités, mais l'incapacité d'obtenir la confiance des utilisateurs. Et tout l'espace DeFi est né du besoin de confiance.
Même si vous décidez d'opter pour un copier-coller en raison de certains facteurs et justifications, l'audit approfondi du code doit figurer en tête de votre liste de priorités. Même si le code a été audité, cela ne signifie pas que la copie sera aussi sécurisée que le code d'origine. Par exemple, l'oracle utilisé dans le code d'origine peut être passé à une nouvelle version et lorsque vous copiez le code, cette nouvelle version de l'oracle peut ne pas être compatible avec l'ancienne version du code, et la vulnérabilité est introduite. Donc, pour vous assurer que votre idée et votre vision ambitieuses deviennent une réalité grâce à votre code DeFi, le faire auditer avant de mettre des millions de dollars en jeu.
Contactez QuillHash
Avec une présence dans l'industrie depuis des années, QuillHash a fourni des solutions d'entreprise à travers le monde. QuillHash avec une équipe d'experts est une société de développement de chaînes de blocs de premier plan fournissant diverses solutions industrielles, y compris l'entreprise DeFi.Si vous avez besoin d'aide dans l'audit des contrats intelligents, n'hésitez pas à contacter nos experts ici!
Suivez QuillHash pour plus de mises à jour
Source : https://blog.quillhash.com/2021/08/04/why-copy-paste-in-defis-are-scarier-than-clowns/
- &
- 000
- 2019
- accès
- Avantage
- Tous
- Apple
- Avril
- autour
- audit
- Milliards
- binance
- blockchain
- ENB
- Punaise
- bogues
- cas
- causé
- chances
- code
- Coin
- Commun
- Communautés
- Sociétés
- Société
- Composé
- contrat
- contrats
- Crypto
- données
- DeFi
- développer
- Développeur
- mobiles
- Développement
- Compatibles
- dollars
- risque numérique
- Entreprise
- de santé
- Visage
- la traduction de documents financiers
- Prénom
- fourche
- formulaire
- fondateur
- gratuitement ici
- Général
- Bien
- pirate
- Haute
- Comment
- How To
- HTTPS
- majeur
- idée
- identifier
- Y compris
- industrie
- IT
- Emplois
- spécialisées
- Langues
- Nouveautés
- conduire
- conduisant
- savant
- Licence
- lumière
- limité
- Liste
- majeur
- Fabrication
- Marché
- mèmes
- million
- de l'argent
- nouvelles
- ouvert
- open source
- oracle
- Autre
- propriétaire
- Personnes
- objectifs
- pauvres
- Produit
- Projet
- projets
- qualité
- Réalité
- Les raisons
- un article
- REST
- Résultats
- Les escrocs
- sécurité
- sémantique
- Services
- Partager
- Shorts
- petit
- smart
- contrat intelligent
- Contrats intelligents
- So
- Logiciels
- Solutions
- Space
- passer
- pieu
- Statut
- rester
- réussi
- surprise
- combustion propre
- Technologie
- fiable
- jeton
- top
- Tracking
- La confiance
- Uniswap
- us
- utilisateurs
- Plus-value
- vision
- vulnérabilités
- vulnérabilité
- des mots
- activités principales
- années
