Évek óta csinálunk copy-paste vicceket. Emlékszel a CTRL + C és a CTRL + V összes mémére? Nos, azért jöttek, hogy kísértsenek minket, mert rossz célra használtuk őket.
Az IT-iparra jellemző, hogy a másolás és beillesztés a szoftverek újrafelhasználásának régi és gyakori formája. A legtöbben időt és erőfeszítést takarítanak meg ezzel, mások azért használják, mert nem akarnak időt tölteni ezzel, végül mindketten szembesülnek a következményekkel.
A rengeteg hátrány közül a legszembetűnőbb a hibák és biztonsági rések megkettőzése a rendszerben, amikor egy meglévő kódot másol. Az, hogy a kód másolásának és beillesztésének gyakorlatát engedélyezni kell-e vagy sem, annak előnyei és hátrányai miatt vitatható, de abban mindannyian egyetértünk, hogy a módosítatlan másolt kód által okozott hibák súlyos helyzetekhez vezethetnek. A tét még nagyobb, ha a kripto- és a DeFi ökoszisztémáról van szó.
A DeFi egy kusza tér. Mindenki számára ingyenes, nem csak a hozzáférés, hanem a technológia megvalósítása szempontjából is. A legtöbb DeFi protokoll és ötlet nyílt forráskódú, így bárki segíthet, de ennek köszönhetően kétélű fegyverré vált. A tábor egyik oldala segíti a DeFi projektek jobbá válását, míg a másik oldal a projekteket és a kódot másolja, hogy saját megoldást fejlesszen ki.
Mitől lett sikeres az Apple? Steve Jobs tudta, hogy a kerítés hátuljának festése ugyanolyan fontos, mint az elülső festés, még akkor is, ha senki más nem látja. A hűséges rajongótábor kialakításában nem csak a minőség, hanem az egyediség is nagy szerepet játszik.
De még az egyediségi tényezőn túl is, amit a DeFi tér nem tudott észrevenni, az az, hogy az általuk másolt kód maga nem teljes. Minden DeFi protokoll gyorsan fejlődik, és feltárja önmagát. Ezért minden protokoll felfedezhet új hibákat. Még ha a kód jól auditált is, új hibák derülhetnek ki, és csak akkor lehet protokollt megvédeni az ilyen hibáktól, ha az eredeti koncepciót egy törzscsapat implementálta.
A copy-paste veszélyei a DeFi-ben
A másolt kód különösen a DeFi tér esetében hatalmas anyagi veszteségekhez vezethet. Ezen túlmenően, a legtöbb másolás-beillesztés rossz minőségű a másoló személy korlátozott ismerete miatt, ami időveszteséghez, nem kívánt módosításokhoz és legfőképpen hacker támadásokhoz vezet.
Néhány évvel ezelőtt a DeFi-ipart érte a hír, hogy a Binance Smart Chain DeFi protokoll Pancake Bunny-t kihasználták egy gyorskölcsön-támadás következtében a közösség vélhetően 1 milliárd dolláros veszteséget szenvedett el.
A DeFi termék kiválasztása előtt nagyon fontos ellenőrizni a kód minőségét és egyediségét. Egy szakember ezen a területen egy pillantással könnyen megállapíthatja, hogy a kódot lemásolták-e vagy sem.
Nagyon fontos megérteni, hogy a kód másolásával a fejlesztők nem csak az adatokat másolják, hanem a hibákat és a sebezhetőségeket is. Sőt, amikor a programozók megpróbálják lemásolni a kódot, finomabb szemantika alakulhat ki. Nem meglepő, hogy a DeFI iparág annyi hackertámadással szembesült, amelyek többsége sikeres volt. 2019 óta, a hackertámadások körülbelül 285 millió dolláros veszteséget okoztak.
Forrás: Atlas VPN
Ezért az első tanulság az, hogy „mindig ellenőrizze a kódot”. Még akkor is, ha Ön terméktulajdonos, ellenőriznie kell a csapata által kidolgozott kódot.
A Forewarned forearmed – ha tudja, hogy mit keres, csökkentheti annak az esélyét, hogy a csalók kihasználják a termékét. A sok jó dolog egyike a DeFi közösségben, hogy még ha nem is tudod, hogyan kell kódolni, a projektnek van egy nyílt kódja körülötte, és ha az emberek érdekesnek találják, a közösség biztosan kutatásokat fog végezni, és megosztja az eredményeket a többiekkel. az embereké.
A legtöbb fejlesztő egyetért abban, hogy a kódok másolása és beillesztése általában rossz gyakorlat. Ez gyakori, mert a kód megváltoztatása vagy új készítése időt, erőfeszítést és pénzt igényel.
Ez nem feltétlenül jelenti azt, hogy a kód újrafelhasználása rossz. A kód újrafelhasználható, és ahol alkalmas, újra fel kell használni, mert időt és erőfeszítést takarít meg. Ezt a kódot azonban a módosítások után szakszerűen auditálni kell.
Okok a másolás-beillesztés elkerülésére a DeFi-ben
Az alábbiakban felsorolunk néhány további okot, amelyek miatt érdemes elkerülni a másolás beillesztését a DeFi térben:
Szegény újrahasználat
Minden kódnak megvannak a maga függőségei. Még ha általánosak is, a függőségek, a könyvtárak, a nyelvek és maga a kód verziója folyamatosan frissül. Ez azt jelenti, hogy még ha a legfrissebb kódot másolja is, az újrafelhasználás gyenge lesz, függetlenül attól, hogy milyen jó a másolás.
A sebezhetőségek öröklése
Az éremnek mindig két oldala van. Ha örökölni akarja egy projekt nyereségét, akkor a veszteségeket is örökölnie kell. A kódmásolás leggyakoribb problémája az eredeti kódban rejlő problémák másolása. A legrosszabb az, hogy a másolt kódot az adott célnak megfelelően módosítják, és így a hiba felderítése nehezebbé válik. Még auditálási szempontból is egy kis módosítással másolt kód még nehezebbé válik az auditálása.
Új hibák bevezetése
Ha kódot másol, valószínű, hogy rövid ideig szeretné elérni a piacot, így nem lesz ideje megérteni a kódot. Minden új módosítás nagyon nagy valószínűséggel új sebezéshez vezet, amelyet nem lehet könnyen azonosítani, mivel kapcsolatban állhat a meglévő kódfunkciókkal.
Más szavakkal, a szerkesztések az eredeti kód megértése nélkül történnek, így az sokkal hajlamosabb a hibákra.
Engedélyezési problémák
Könnyű másolni és beilleszteni a nyílt forráskódú projektekből származó kódokat, de a másolt kód licenckövetelményeinek megértése problémát jelenthet, még inkább a beágyazott eszközök esetében, ahol a beépített szoftver újnak és egyedinek számít.
Valós példák a copy-paste fenyegetésre
A DeFi-t nem hagyják érintetlenül a másoló beillesztés szörnyű gyakorlatai. Vannak DeFi-projektek, amelyek másolják és beillesztik az Uniswap, Compound és más sikeres protokollok intelligens szerződési kódjait. Az ilyen gyakorlatban az a szörnyűbb, hogy gyakran hibásan másolják le – így a támadók munkáját egy szelet torta!
Az ilyen támadások egyik legfrissebb példája a BSC alapú „Uranium Finance” volt, ez egy Uniswap V2 fork, amelyet 28. április 2021-án használtak ki 57 millió $. Fulcrum fejlesztő – Kyle Kistner rámutatott, hogy az Uranium fejlesztők lemásolták a SushiSwap (már Uniswap klón) kódot, az 1,000-es számot mindenhol 10,000 XNUMX-re cserélték – egyetlen eset kivételével:
forrás : Tweet
A másolás-beillesztés veszélyének másik példája a „BurgerSwap”, amelyet 28. május 2021-án törtek fel, 7.2 millió dolláros veszteséggel.
"A Uniswap alapítója, Hayden Adams szerint ez könnyen elkerülhető lett volna."
Az Uniswap kódját is elágazta, de kimaradt egy darab: x*y = k check, fontos szerepet játszott az egyes token értékének kiszámításában. E nélkül a támadó minden kis összeget felcserélt, létrehozva egy dummy tokent több ezer BNB & BURGER.
Következtetés
A másolás és beillesztés nem rossz. Bizonyos helyzetekben nagyon hasznosak lehetnek egy projektben egy bizonyos, már megfelelően felépített elem gyors megvalósításához. Más esetekben abban is segíthet, hogy a status quo mellett maradjon, és valami elfogadható megoldást valósítson meg.
A DeFi azonban nem a megfelelő hely erre. Még ha csak néhány sornyi kódot kell módosítania, a másolás és beillesztés nem ajánlott. Az intelligens szerződés-audit szakértőiként több jó szándékkal és vízióval rendelkező céget is láthattunk, ami miatt megbukott ilyen gyakorlatok. A fő ok nem csupán a sebezhetőség, hanem a felhasználók bizalmának megszerzésének képtelensége. Az egész DeFi tér pedig a bizalom szükségességéből született.
Még akkor is, ha bizonyos tényezők és indokok miatt a másolás-beillesztés mellett dönt, a kód alapos auditálása a prioritási lista élén kell, hogy álljon. Még ha a kódot ellenőrizték is, ez nem jelenti azt, hogy a másolat ugyanolyan biztonságos lesz, mint az eredeti kód. Például előfordulhat, hogy az eredeti kódban használt orákulum egy új verzióra vált, és amikor másolja a kódot, előfordulhat, hogy az orákulum új verziója nem kompatibilis a kód régi verziójával, és a biztonsági rés megjelenik. Annak érdekében, hogy ambiciózus elképzelése és elképzelése valósággá váljon a DeFi kódon keresztül, auditálják mielőtt dollármilliókat tesz kockára.
Forduljon QuillHashhoz
Évek óta jelen lévő iparágban, QuillHash vállalati megoldásokat szállított szerte a világon. A QuillHash egy szakértői csapattal egy vezető blokklánc-fejlesztő cég, amely különféle iparági megoldásokat kínál, beleértve a DeFi vállalati megoldásokat is. Ha segítségre van szüksége az intelligens szerződések auditjához, forduljon bizalommal szakértőinkhoz. itt!
További frissítésekért kövesse a QuillHash-t
Forrás: https://blog.quillhash.com/2021/08/04/why-copy-paste-in-defis-are-scarier-than-clowns/
- &
- 000
- 2019
- hozzáférés
- Előny
- Minden termék
- Apple
- április
- körül
- könyvvizsgálat
- Billió
- binance
- blockchain
- BNB
- Bogár
- bogarak
- esetek
- okozott
- esély
- kód
- Érme
- Közös
- közösség
- Companies
- vállalat
- Összetett
- szerződés
- szerződések
- crypto
- dátum
- Defi
- Fejleszt
- Fejlesztő
- fejlesztők
- Fejlesztés
- Eszközök
- dollár
- ökoszisztéma
- Vállalkozás
- szakértők
- Arc
- pénzügyi
- vezetéknév
- villa
- forma
- alapító
- Ingyenes
- általános
- jó
- hacker
- Magas
- Hogyan
- How To
- HTTPS
- hatalmas
- ötlet
- azonosítani
- Beleértve
- ipar
- IT
- Állások
- tudás
- Nyelvek
- legutolsó
- vezet
- vezető
- tanult
- Engedély
- fény
- Korlátozott
- Lista
- fontos
- Gyártás
- piacára
- mémek
- millió
- pénz
- hír
- nyitva
- nyílt forráskódú
- jóslat
- Más
- tulajdonos
- Emberek (People)
- perspektíva
- szegény
- Termékek
- program
- projektek
- világítás
- Valóság
- miatt
- kutatás
- REST
- Eredmények
- Csalók
- biztonság
- szemantika
- Szolgáltatások
- Megosztás
- rövid
- kicsi
- okos
- okos szerződés
- Intelligens szerződések
- So
- szoftver
- Megoldások
- Hely
- költ
- tét
- Állapot
- tartózkodás
- sikeres
- meglepetés
- rendszer
- Technológia
- idő
- jelképes
- felső
- Csomagkövetés
- Bízzon
- Cserélje le
- us
- Felhasználók
- érték
- látomás
- sérülékenységek
- sebezhetőség
- szavak
- Munka
- év
