Kami telah membuat lelucon copy-paste selama bertahun-tahun. Ingat semua meme CTRL + C dan CTRL + V? Yah, mereka datang untuk menghantui kita karena kita telah menggunakannya untuk tujuan yang salah.
Khusus untuk industri TI, menyalin dan menempel adalah bentuk lama dan umum dari penggunaan kembali perangkat lunak. Kebanyakan orang melakukannya untuk menghemat waktu dan tenaga, yang lain menggunakannya karena mereka tidak ingin menghabiskan waktu melakukannya sendiri, keduanya menghadapi konsekuensi pada akhirnya.
Dari sejumlah besar kelemahan, yang paling menonjol adalah duplikasi bug dan kerentanan keamanan di seluruh sistem saat Anda menyalin kode yang ada. Apakah praktik menyalin dan menempelkan kode harus diizinkan atau tidak masih bisa diperdebatkan karena pro dan kontranya, tetapi fakta yang dapat kita sepakati adalah bahwa kesalahan yang disebabkan oleh kode yang disalin yang tidak dimodifikasi dapat menyebabkan situasi serius. Taruhannya bahkan lebih tinggi dalam hal ekosistem crypto dan DeFi.
DeFi adalah ruang kusut. Ini gratis untuk semua, tidak hanya dalam hal akses tetapi juga dalam hal implementasi teknologi. Sebagian besar protokol dan ide DeFi adalah open-source sehingga siapa pun dapat membantu tetapi karena ini telah menjadi pedang bermata dua. Satu sisi kamp membantu proyek DeFi menjadi lebih baik sementara sisi lain menyalin proyek dan kode untuk mengembangkan solusi mereka sendiri.
Apa yang membuat Apple menjadi perusahaan yang sukses? Steve Jobs tahu bahwa mengecat bagian belakang pagar sama pentingnya dengan mengecat bagian depan meskipun tidak ada orang lain yang akan melihatnya. Tidak hanya kualitas tetapi juga keunikan memainkan peran utama untuk menciptakan basis penggemar setia.
Tetapi bahkan di luar faktor keunikan, apa yang gagal disadari oleh ruang DeFi adalah bahwa kode yang mereka salin itu sendiri tidak lengkap. Setiap protokol DeFi berkembang pesat dan mengeksplorasi dirinya sendiri. Oleh karena itu, setiap protokol di luar sana mungkin menemukan beberapa bug baru. Bahkan jika kode diaudit dengan baik, bug baru dapat terungkap dan protokol dapat diamankan dari bug tersebut hanya jika memiliki konsep asli yang diterapkan oleh tim inti.
Bahaya copy-paste di DeFi
Khusus untuk ruang DeFi, kode yang disalin dapat menyebabkan kerugian finansial yang besar. Selain itu, kebanyakan copy-paste berkualitas buruk karena keterbatasan pengetahuan orang yang menyalin yang menyebabkan pemborosan waktu, modifikasi yang tidak diinginkan, dan yang paling penting, serangan hacker.
Beberapa waktu lalu, industri DeFi dikejutkan oleh berita bahwa protokol Binance Smart Chain DeFi Kelinci Pancake telah dieksploitasi oleh serangan pinjaman kilat, sebagai akibatnya, komunitas itu diyakini telah menghadapi kerugian $ 1 miliar.
Sebelum memilih produk DeFi, sangat penting untuk memeriksa kualitas dan keunikan kode. Satu pandangan oleh seorang profesional di ruang ini dapat dengan mudah mengidentifikasi bahwa kode tersebut disalin atau tidak.
Sangat penting untuk dipahami bahwa dengan menyalin kode, pengembang tidak hanya menyalin data tetapi juga menyalin bug dan kerentanan. Selain itu, ketika pemrogram mencoba menyalin kode, semantik yang lebih halus dapat muncul. Tidak mengherankan bahwa industri DeFI menghadapi begitu banyak serangan peretas yang sebagian besar berhasil. Sejak 2019, serangan hacker telah menyebabkan kerugian sekitar $285 juta.
Sumber: AtlasVPN
Oleh karena itu, pelajaran pertama yang dipelajari adalah "selalu periksa kode". Bahkan jika Anda adalah pemilik produk, Anda harus memeriksa kode yang dikembangkan oleh tim Anda.
Diperingatkan sebelumnya - jika Anda tahu apa yang Anda cari, Anda dapat mengurangi kemungkinan scammers mengambil keuntungan dari produk Anda. Salah satu dari banyak hal baik tentang komunitas DeFi adalah bahwa meskipun Anda tidak tahu cara membuat kode, proyek memiliki kode terbuka di sekitarnya dan jika orang menganggapnya menarik, komunitas pasti akan melakukan penelitian dan membagikan hasilnya kepada yang lain. dari orang-orang.
Sebagian besar pengembang akan setuju dengan fakta bahwa menyalin dan menempelkan kode adalah praktik yang buruk secara umum. Itu biasa karena mengubah kode atau membuat yang baru akan memakan waktu, tenaga, dan uang.
Ini tidak berarti bahwa penggunaan kembali kode itu buruk. Sebuah kode dapat digunakan kembali dan harus digunakan kembali di mana pun sesuai karena menghemat waktu dan tenaga. Namun, kode ini perlu diaudit secara profesional setelah modifikasi.
Alasan untuk menghindari copy-paste di DeFi
Disebutkan di bawah ini adalah beberapa alasan lagi mengapa copy paste harus dihindari di ruang DeFi:
Penggunaan Kembali yang Buruk
Setiap kode memiliki ketergantungannya sendiri. Meskipun generik, versi dependensi, pustaka, bahasa, dan kode itu sendiri terus diperbarui. Ini berarti, bahkan jika Anda menyalin kode terbaru, penggunaan kembali akan menjadi buruk tidak peduli seberapa baik Anda menyalin.
Mewarisi kerentanan
Selalu ada dua sisi mata uang. Jika Anda ingin mewarisi keuntungan suatu proyek, Anda juga harus mewarisi kerugiannya. Masalah paling umum dalam menyalin kode adalah menyalin masalah yang melekat pada kode asli. Bagian terburuknya adalah kode yang disalin dimodifikasi untuk tujuan spesifiknya dan karenanya melacak bug menjadi lebih sulit. Bahkan dari perspektif audit, kode yang disalin dengan sedikit modifikasi menjadi lebih sulit untuk diaudit.
Memperkenalkan kesalahan baru
Jika Anda menyalin kode, kemungkinan besar Anda ingin waktu pasar yang singkat sehingga Anda tidak punya waktu untuk memahami kode masuk dan keluar. Setiap modifikasi baru yang Anda lakukan akan memiliki kemungkinan yang sangat tinggi untuk menyebabkan kerentanan baru yang tidak dapat diidentifikasi dengan mudah karena mungkin memiliki ikatan dengan fungsi kode yang ada.
Dengan kata lain, pengeditan dilakukan tanpa memahami kode asli sehingga lebih rentan terhadap kesalahan.
Masalah lisensi
Sangat mudah untuk menyalin dan menempelkan kode dari proyek sumber terbuka tetapi tidak memahami implikasi lisensi dari kode yang disalin dapat menjadi masalah, terlebih lagi untuk perangkat tertanam di mana perangkat lunak onboard dianggap baru dan unik.
Contoh Dunia Nyata dari Menace copy-paste
DeFi tidak tersentuh oleh praktik copy paste yang mengerikan. Ada proyek DeFi yang menyalin & menempelkan kode kontrak pintar Uniswap, Compound, dan protokol sukses lainnya. Apa yang lebih buruk dari praktik semacam itu adalah mereka sering menyalinnya dengan kesalahan – membuat pekerjaan penyerang menjadi mudah!
Salah satu contoh terbaru dari serangan tersebut adalah 'Uranium Finance' berbasis BSC, ini adalah fork Uniswap V2 yang dieksploitasi pada 28 April 2021 untuk $ 57 juta. Pengembang Fulcrum – Kyle Kistner menunjukkan bahwa pengembang Uranium menyalin kode SushiSwap (sudah menjadi klon Uniswap), mereka mengganti nomor 1,000 dengan 10,000 di mana-mana – kecuali dalam satu kasus:
Sumber: Tweet
Contoh lain dari bahaya copy-paste adalah 'BurgerSwap' – diretas pada 28 Mei 2021 dengan perkiraan kerugian – $7.2 juta.
“Menurut pendiri Uniswap Hayden Adams, itu bisa dengan mudah dihindari.”
Itu juga memotong kode Uniswap, tetapi melewatkan sepotong: x*y = k cek, itu memainkan peran penting dalam menghitung nilai setiap token. Tanpa ini, penyerang menukar setiap jumlah kecil dengan membuat token dummy untuk ribuan BNB & BURGER.
Kesimpulan
Salin dan tempel tidak semuanya buruk. Dalam situasi tertentu, mereka bisa sangat berguna bagi sebuah proyek untuk dengan cepat mengimplementasikan elemen tertentu yang telah dibangun dengan benar. Dalam kasus lain, mungkin juga membantu Anda tetap dengan status quo dan menerapkan sesuatu yang dapat diterima sebagai solusi.
Namun, DeFi bukanlah ruang yang tepat untuk itu. Bahkan jika hanya ada beberapa baris kode yang harus Anda ubah, salin dan tempel tidak disarankan. Sebagai spesialis dalam audit kontrak pintar, kami telah melihat beberapa perusahaan, yang memiliki niat dan visi yang baik, gagal karena praktik seperti itu. Alasan intinya bukan hanya kerentanan tetapi ketidakmampuan untuk mendapatkan kepercayaan dari pengguna. Dan seluruh ruang DeFi lahir dari kebutuhan akan kepercayaan.
Bahkan jika Anda memutuskan untuk melakukan copy-paste karena faktor dan pembenaran tertentu, mendapatkan kode yang diaudit secara menyeluruh harus menjadi prioritas utama Anda. Sekalipun kode tersebut telah diaudit, tidak berarti bahwa salinannya akan seaman kode aslinya. Misalnya, oracle yang digunakan dalam kode asli mungkin telah bergeser ke versi baru dan ketika Anda menyalin kode, oracle versi baru itu mungkin tidak kompatibel dengan kode versi lama, dan kerentanan diperkenalkan. Jadi untuk memastikan bahwa ide dan visi ambisius Anda menjadi kenyataan melalui kode DeFi Anda, diaudit sebelum menempatkan jutaan dolar dipertaruhkan.
Hubungi QuillHash
Dengan kehadiran industri bertahun-tahun, QuillHash telah memberikan solusi perusahaan di seluruh dunia. QuillHash dengan tim ahli adalah perusahaan pengembangan blockchain terkemuka yang menyediakan berbagai solusi industri termasuk perusahaan DeFi, Jika Anda memerlukan bantuan dalam audit kontrak pintar, jangan ragu untuk menghubungi pakar kami di sini!
Ikuti QuillHash untuk pembaruan lebih lanjut
Sumber: https://blog.quillhash.com/2021/08/04/why-copy-paste-in-defis-are-scarier-than-clowns/
- &
- 000
- 2019
- mengakses
- Keuntungan
- Semua
- Apple
- April
- sekitar
- Audit
- Milyar
- binansi
- blockchain
- bnb
- Bug
- bug
- kasus
- disebabkan
- kesempatan
- kode
- Koin
- Umum
- masyarakat
- Perusahaan
- perusahaan
- Senyawa
- kontrak
- kontrak
- kripto
- data
- Defi
- mengembangkan
- Pengembang
- pengembang
- Pengembangan
- Devices
- dolar
- ekosistem
- Enterprise
- ahli
- Menghadapi
- keuangan
- Pertama
- garpu
- bentuk
- pendiri
- Gratis
- Umum
- baik
- hacker
- High
- Seterpercayaapakah Olymp Trade? Kesimpulan
- How To
- HTTPS
- besar
- ide
- mengenali
- Termasuk
- industri
- IT
- Jobs
- pengetahuan
- Bahasa
- Terbaru
- memimpin
- terkemuka
- belajar
- Lisensi
- cahaya
- Terbatas
- Daftar
- utama
- Membuat
- Pasar
- meme
- juta
- uang
- berita
- Buka
- open source
- peramal
- Lainnya
- pemilik
- Konsultan Ahli
- perspektif
- miskin
- Produk
- proyek
- memprojeksikan
- kualitas
- Kenyataan
- alasan
- penelitian
- ISTIRAHAT
- Hasil
- Scammers
- keamanan
- semantik
- Layanan
- Share
- Pendek
- kecil
- pintar
- kontrak pintar
- Kontrak Cerdas
- So
- Perangkat lunak
- Solusi
- Space
- menghabiskan
- taruhan
- Status
- tinggal
- sukses
- mengherankan
- sistem
- Teknologi
- waktu
- token
- puncak
- Pelacakan
- Kepercayaan
- Tidak bertukar tempat
- us
- Pengguna
- nilai
- penglihatan
- Kerentanan
- kerentanan
- kata
- Kerja
- tahun
![Bagaimana cara mendeteksi serangan Cryptojacking? [Dengan pencegahan dan solusi] Intelijen Data PlatoBlockchain. Pencarian Vertikal. ai.](https://platoblockchain.com/wp-content/uploads/2021/07/how-to-detect-cryptojacking-attack-with-prevention-and-solutions-300x37.jpg "Bagaimana cara mendeteksi serangan Cryptojacking? [Dengan pencegahan dan solusi]")
