Sono anni che facciamo battute copia-incolla. Ricordi tutti i meme di CTRL + C e CTRL + V? Ebbene, sono venuti a perseguitarci perché li abbiamo usati per lo scopo sbagliato.
Specifico per il settore IT, copiare e incollare è una forma vecchia e comune di riutilizzo del software. La maggior parte delle persone lo fa per risparmiare tempo e fatica, altri lo usano perché non vogliono perdere tempo a farlo da soli, entrambi alla fine ne affrontano le conseguenze.
Tra tutti gli inconvenienti, il più importante è la duplicazione di bug e vulnerabilità di sicurezza in tutto il sistema quando si copia un codice esistente. Se la pratica di copiare e incollare un codice debba essere consentita o meno è discutibile a causa dei suoi pro e contro, ma il fatto su cui siamo tutti d'accordo è che gli errori introdotti da un codice copiato non modificato possono portare a situazioni gravi. La posta in gioco è ancora più alta quando si tratta dell’ecosistema crittografico e DeFi.
La DeFi è uno spazio intricato. È gratuito per tutti, non solo in termini di accesso ma anche in termini di implementazione tecnologica. La maggior parte dei protocolli e delle idee DeFi sono open source in modo che chiunque possa dare una mano, ma per questo motivo è diventata un'arma a doppio taglio. Una parte del campo sta aiutando i progetti DeFi a migliorare mentre l’altra parte sta copiando i progetti e il codice per sviluppare la propria soluzione.
Cosa ha reso Apple un’azienda di successo? Steve Jobs sapeva che dipingere il retro della recinzione è importante quanto dipingere la parte anteriore, anche se nessun altro lo vedrà. Non solo la qualità ma anche l'unicità gioca un ruolo importante per creare una base di fan fedele.
Ma anche al di là del fattore unicità, ciò che lo spazio DeFi non è riuscito a realizzare è che il codice che stanno copiando non è di per sé completo. Ogni protocollo DeFi si sta evolvendo rapidamente ed esplorando se stesso. Pertanto, ogni protocollo disponibile potrebbe scoprire nuovi bug. Anche se il codice è ben controllato, possono venire alla luce nuovi bug e un protocollo può essere protetto da tali bug solo se il concetto originale è implementato da un team principale.
I pericoli del copia-incolla nella DeFi
Soprattutto per lo spazio DeFi, un codice copiato può portare a enormi perdite finanziarie. In aggiunta a ciò, la maggior parte dei copia-incolla sono di scarsa qualità a causa della conoscenza limitata della persona che copia, il che porta a perdite di tempo, modifiche indesiderate e, soprattutto, attacchi di hacker.
Qualche tempo fa, il settore DeFi è stato colpito dalla notizia che il protocollo Binance Smart Chain DeFi Pancake Bunny è stato sfruttato di conseguenza, a causa di un attacco con prestito lampo, si credeva che la comunità avesse dovuto affrontare una perdita di 1 miliardo di dollari.
Prima di scegliere il prodotto DeFi, è assolutamente necessario verificare la qualità e l'unicità del codice. Uno sguardo da parte di un professionista in questo spazio può facilmente identificare se il codice è copiato o meno.
È molto importante capire che copiando un codice, gli sviluppatori non solo copiano i dati ma copiano anche bug e vulnerabilità. Inoltre, quando i programmatori provano a copiare il codice, può emergere una semantica più sottile. Non sorprende che il settore DeFI abbia dovuto affrontare così tanti attacchi hacker, la maggior parte dei quali ha avuto successo. Dal 2019, gli attacchi degli hacker hanno causato una perdita di circa 285 milioni di dollari.
Fonte: Atlas VPN
Quindi la prima lezione appresa è “controllare sempre il codice”. Anche se sei il proprietario del prodotto, devi controllare il codice sviluppato dal tuo team.
Essere avvisati è salvato: se sai cosa stai cercando puoi diminuire le possibilità che i truffatori approfittino del tuo prodotto. Uno dei tanti aspetti positivi della comunità DeFi è che, anche se non sai programmare, il progetto ha un codice aperto attorno ad esso e se le persone lo trovano interessante, la comunità condurrà sicuramente delle ricerche e condividerà i risultati con gli altri delle persone.
La maggior parte degli sviluppatori concorderebbe sul fatto che copiare e incollare i codici è una cattiva pratica in generale. È comune perché cambiare il codice o crearne uno nuovo richiederà tempo, impegno e denaro.
Ciò non significa necessariamente che il riutilizzo del codice sia negativo. Un codice può essere riutilizzato e dovrebbe essere riutilizzato laddove opportuno perché consente di risparmiare tempo e fatica. Tuttavia, questo codice deve essere verificato in modo professionale dopo le modifiche.
Motivi per evitare il copia-incolla nella DeFi
Di seguito sono menzionati alcuni altri motivi per cui il copia e incolla dovrebbe essere evitato nello spazio DeFi:
Scarso riutilizzo
Ogni codice ha le sue dipendenze. Anche se generiche, la versione delle dipendenze, delle librerie, dei linguaggi e del codice stesso continua ad aggiornarsi. Ciò significa che, anche se copi il codice più recente, il riutilizzo sarà scarso, non importa quanto tu sia bravo a copiare.
Ereditare le vulnerabilità
Ci sono sempre due facce di una medaglia. Se vuoi ereditare i profitti di un progetto, dovrai ereditare anche le perdite. Il problema più comune quando si copia un codice è copiare i problemi inerenti al codice originale. La cosa peggiore è che il codice copiato viene modificato per il suo scopo specifico e quindi rintracciare il bug diventa più difficile. Anche dal punto di vista dell’auditing, un codice copiato con piccole modifiche diventa ancora più difficile da sottoporre ad audit.
Introduzione di nuovi errori
Se stai copiando un codice, è probabile che desideri un breve periodo di immissione sul mercato in modo da non avere il tempo di comprendere il codice dentro e fuori. Qualsiasi nuova modifica apportata avrà un'altissima probabilità di portare a una nuova vulnerabilità che non può essere identificata facilmente poiché potrebbe avere legami con le funzionalità del codice esistente.
In altre parole, le modifiche vengono apportate senza comprendere il codice originale rendendolo più soggetto a errori.
Problemi di licenza
È facile copiare e incollare codici da progetti open source, ma non comprendere le implicazioni di licenza del codice copiato può essere un problema, soprattutto per i dispositivi embedded in cui il software integrato è considerato nuovo e unico.
Esempi dal mondo reale della minaccia del copia-incolla
La DeFi non è lasciata indenne dalle terribili pratiche del copia incolla. Esistono progetti DeFi che copiano e incollano i codici dei contratti intelligenti di Uniswap, Compound e altri protocolli di successo. La cosa più terribile di questa pratica è che spesso la copiano con errori, rendendo il lavoro degli aggressori un gioco da ragazzi!
Uno degli esempi più recenti di tale attacco è stato "Uranium Finance" basato su BSC, un fork di Uniswap V2 che è stato sfruttato il 28 aprile 2021 per $57 milioni. Sviluppatore Fulcrum – Kyle Kistner ha sottolineato che gli sviluppatori di Uranium hanno copiato il codice SushiSwap (già un clone di Uniswap), hanno sostituito il numero 1,000 con 10,000 ovunque – tranne in un caso:
fonte: Tweet
Un altro esempio del pericolo del copia-incolla è "BurgerSwap", hackerato il 28 maggio 2021 con una perdita stimata di - 7.2 milioni di dollari.
"Secondo il fondatore di Uniswap Hayden Adams, ciò avrebbe potuto essere facilmente evitato."
Ha anche effettuato un fork del codice di Uniswap, ma ha mancato un pezzo: x*y = k check, ha svolto un ruolo importante nel calcolo del valore di ciascun token. Senza questo, l'attaccante ha scambiato ogni piccola somma creando un token fittizio migliaia di BNB & BURGER.
Conclusione
Copiare e incollare non è tutto negativo. In determinate situazioni possono essere molto utili in un progetto per implementare rapidamente un determinato elemento che è già stato realizzato correttamente. In altri casi, potrebbe anche aiutarti a rimanere nello status quo e implementare qualcosa che sia accettabile come soluzione.
Tuttavia, la DeFi non è lo spazio adatto per questo. Anche se ci sono solo poche righe di codice da modificare, non è consigliabile copiare e incollare. In qualità di specialisti negli audit dei contratti intelligenti, abbiamo visto diverse aziende, con buone intenzioni e visioni, fallire a causa di tali pratiche. Il motivo principale non sono solo le vulnerabilità, ma l’incapacità di ottenere la fiducia degli utenti. E l’intero spazio DeFi nasce dal bisogno di fiducia.
Anche se decidi di fare un copia-incolla a causa di determinati fattori e giustificazioni, ottenere un controllo approfondito del codice dovrebbe essere in cima alla tua lista di priorità. Anche se il codice è stato controllato, ciò non significa che la copia sarà protetta quanto il codice originale. Ad esempio, l'oracolo utilizzato nel codice originale potrebbe essere passato a una nuova versione e quando copi il codice, quella nuova versione dell'oracolo potrebbe non essere compatibile con la vecchia versione del codice e viene introdotta la vulnerabilità. Quindi, per garantire che la tua idea e visione ambiziosa diventino realtà attraverso il tuo codice DeFi, farlo controllare prima di mettere in gioco milioni di dollari.
Contatta QuillHash
Con una presenza nel settore di anni, QuillHash ha fornito soluzioni aziendali in tutto il mondo. QuillHash con un team di esperti è una società leader nello sviluppo di blockchain che fornisce varie soluzioni di settore tra cui l'impresa DeFi, se hai bisogno di assistenza per l'audit dei contratti intelligenti, sentiti libero di contattare i nostri esperti qui!
Segui QuillHash per ulteriori aggiornamenti
Fonte: https://blog.quillhash.com/2021/08/04/why-copy-paste-in-defis-are-scarier-than-clowns/
- &
- 000
- 2019
- accesso
- Vantaggio
- Tutti
- Apple
- Aprile
- in giro
- revisione
- Miliardo
- binance
- blockchain
- bnb
- Insetto
- bug
- casi
- ha causato
- probabilità
- codice
- Moneta
- Uncommon
- comunità
- Aziende
- azienda
- Compound
- contratto
- contratti
- crypto
- dati
- DeFi
- sviluppare
- Costruttori
- sviluppatori
- Mercato
- dispositivi
- dollari
- ecosistema
- Impresa
- esperti
- Faccia
- finanziario
- Nome
- forcella
- modulo
- fondatore
- Gratis
- Generale
- buono
- degli hacker
- Alta
- Come
- Tutorial
- HTTPS
- Enorme
- idea
- identificare
- Compreso
- industria
- IT
- Offerte di lavoro
- conoscenze
- Le Lingue
- con i più recenti
- portare
- principale
- imparato
- Licenza
- leggera
- Limitato
- Lista
- maggiore
- Fare
- Rappresentanza
- memi
- milione
- soldi
- notizie
- aprire
- open source
- oracolo
- Altro
- proprietario
- Persone
- prospettiva
- povero
- Prodotto
- progetto
- progetti
- qualità
- Realtà
- motivi
- riparazioni
- REST
- Risultati
- Truffatori
- problemi di
- semantica
- Servizi
- Condividi
- Corti
- piccole
- smart
- smart contract
- Smart Contract
- So
- Software
- Soluzioni
- lo spazio
- spendere
- palo
- Stato dei servizi
- soggiorno
- di successo
- sorpresa
- sistema
- Tecnologia
- tempo
- token
- top
- Tracking
- Affidati ad
- Uniswap
- us
- utenti
- APPREZZIAMO
- visione
- vulnerabilità
- vulnerabilità
- parole
- Lavora
- anni
![Come rilevare un attacco di Cryptojacking? [Con prevenzione e soluzioni] PlatoBlockchain Data Intelligence. Ricerca verticale. Ai.](https://platoblockchain.com/wp-content/uploads/2021/07/how-to-detect-cryptojacking-attack-with-prevention-and-solutions-300x37.jpg "Come rilevare un attacco di Cryptojacking? [Con prevenzione e soluzioni]")
