אנחנו עושים בדיחות העתק-הדבק כבר שנים. זוכרים את כל הממים של CTRL + C ו-CTRL + V? ובכן, הם באו לרדוף אותנו כי השתמשנו בהם למטרה הלא נכונה.
ספציפית לתעשיית ה-IT, העתקה והדבקה הן צורה ישנה ונפוצה של שימוש חוזר בתוכנה. רוב האנשים עושים את זה כדי לחסוך זמן ומאמץ, אחרים משתמשים בזה כי הם לא רוצים לבזבז זמן בעצמם, שניהם מתמודדים עם ההשלכות בסופו של דבר.
מתוך שפע של חסרונות, הבולט שבהם הוא שכפול באגים ופגיעויות אבטחה בכל המערכת כאשר אתה מעתיק קוד קיים. האם יש להתיר את התרגול של העתקה והדבקה של קוד או לא נתון לוויכוח בגלל היתרונות והחסרונות שלו, אבל העובדה שכולנו יכולים להסכים עליה היא ששגיאות שהוכנסו על ידי קוד מועתק ללא שינוי עלולות להוביל למצבים חמורים. ההימור גבוה עוד יותר בכל הנוגע לאקוסיסטם הקריפטו וה-DeFi.
DeFi הוא חלל סבוך. זה בחינם לכולם, לא רק מבחינת גישה אלא גם מבחינת יישום טכנולוגיה. רוב הפרוטוקולים והרעיונות של DeFi הם בקוד פתוח כך שכל אחד יכול לעזור אך בשל כך זה הפך לחרב פיפיות. צד אחד של המחנה עוזר לפרויקטים של DeFi להשתפר בעוד הצד השני מעתיק את הפרויקטים והקוד כדי לפתח פתרון משלהם.
מה הפך את אפל לחברה מצליחה? סטיב ג'ובס ידע שצביעת החלק האחורי של הגדר חשובה כמו צביעת החזית גם אם אף אחד אחר לא יראה אותה. לא רק האיכות אלא גם הייחודיות משחקת תפקיד מרכזי ביצירת קהל מעריצים נאמן.
אבל אפילו מעבר לגורם הייחודי, מה שמרחב ה-DeFi לא הצליח להבין הוא שהקוד שהם מעתיקים הוא עצמו לא שלם. כל פרוטוקול DeFi מתפתח במהירות וחוקר את עצמו. לכן, כל פרוטוקול שם בחוץ עשוי לגלות כמה באגים חדשים. גם אם הקוד מבוקר היטב, באגים חדשים יכולים להתגלות וניתן לאבטח פרוטוקול מבאגים כאלה רק אם יש לו את הרעיון המקורי מיושם על ידי צוות ליבה.
הסכנות של העתק-הדבק ב-DeFi
במיוחד עבור מרחב ה-DeFi, קוד מועתק יכול להוביל להפסדים כספיים עצומים. בנוסף לכך, רוב ההעתק-הדבק הוא באיכות ירודה בגלל הידע המוגבלת של האדם המעתיק מה שמוביל לבזבוז זמן, שינויים לא רצויים, והכי חשוב, התקפות האקרים.
לפני זמן מה, תעשיית DeFi נפגעה מהחדשות על פרוטוקול Binance Smart Chain DeFi ארנב פנקייק נוצל על ידי מתקפת הלוואות בזק, כתוצאה מכך, הקהילה סברה כי עמדה בפני הפסד של מיליארד דולר.
לפני בחירת מוצר DeFi, יש צורך מאוד לבדוק את האיכות והייחודיות של הקוד. מבט אחד של איש מקצוע במרחב הזה יכול לזהות בקלות שהקוד מועתק או לא.
חשוב מאוד להבין שעל ידי העתקת קוד, המפתחים לא רק מעתיקים את הנתונים אלא גם מעתיקים באגים ופגיעויות. יתרה מכך, כאשר מתכנתים מנסים להעתיק את הקוד, סמנטיקה עדינה יותר יכולה להופיע. אין זה מפתיע שתעשיית DeFI התמודדה עם כל כך הרבה התקפות האקרים שרובן הצליחו. מאז 2019, התקפות האקרים גרמו להפסד של כ-285 מיליון דולר.
מקור: VPN של אטלס
לפיכך, הלקח הראשון שנלמד הוא "לבדוק תמיד את הקוד". גם אם אתה בעל מוצר, עליך לבדוק את הקוד שמפתח הצוות שלך.
אזהרה מוקדמת - אם אתה יודע מה אתה מחפש אתה יכול להקטין את הסיכוי שרמאים ינצלו את המוצר שלך. אחד מהרבה דברים טובים בקהילת DeFi הוא שגם אם אתה לא יודע לקוד, לפרויקט יש קוד פתוח סביבו ואם אנשים ימצאו את זה מעניין, הקהילה בוודאי תערוך מחקר ותשתף את התוצאות עם השאר של האנשים.
רוב המפתחים יסכימו על העובדה שהעתקה והדבקה של קודים היא נוהג גרוע באופן כללי. זה נפוץ מכיוון ששינוי הקוד או יצירת קוד חדש ייקח זמן, מאמץ וכסף.
זה לא אומר בהכרח ששימוש חוזר בקוד הוא רע. ניתן לעשות שימוש חוזר בקוד ויש לעשות בו שימוש חוזר בכל מקום שמתאים כי זה חוסך זמן ומאמץ. עם זאת, קוד זה צריך להיבדק בצורה מקצועית לאחר שינויים.
סיבות להימנע מהעתק-הדבק ב-DeFi
להלן מספר סיבות נוספות מדוע יש להימנע מהדבקת העתקה במרחב DeFi:
שימוש חוזר גרוע
לכל קוד יש תלות משלו. גם אם הם כלליים, הגרסה של התלות, הספריות, השפות והקוד עצמו ממשיכה להתעדכן. המשמעות היא שגם אם תעתיקו את הקוד העדכני ביותר, השימוש החוזר יהיה גרוע לא משנה כמה טוב אתם בהעתקה.
יורש את הפגיעות
תמיד יש שני צדדים למטבע. אם אתה רוצה לרשת את הרווחים של פרויקט, תצטרך לרשת גם את ההפסדים. הבעיה הנפוצה ביותר בהעתקת קוד היא העתקת הבעיות הגלומות בקוד המקורי. החלק הגרוע ביותר הוא שהקוד המועתק שונה למטרה הספציפית שלו, ולכן מעקב אחר הבאג הופך לקשה יותר. אפילו מנקודת מבט של ביקורת, קוד מועתק עם שינויים קטנים הופך להיות אפילו יותר קשה לביקורת.
מציג שגיאות חדשות
אם אתה מעתיק קוד, רוב הסיכויים שאתה רוצה זמן קצר לשוק כדי שלא יהיה לך זמן להבין את הקוד פנימה והחוצה. כל שינוי חדש שתבצע יהיה בעל סבירות גבוהה מאוד להוביל לפגיעות חדשה שלא ניתן לזהות בקלות מכיוון שהיא עשויה להיות קשורה לפונקציונליות הקוד הקיימת.
במילים אחרות, העריכות מבוצעות מבלי להבין את הקוד המקורי מה שהופך אותו ליותר מועד לשגיאות.
בעיות רישוי
קל להעתיק ולהדביק קודים מפרויקטי קוד פתוח, אבל אי הבנת השלכות הרישיון של הקוד המועתק עלולה להיות בעיה, אפילו יותר עבור מכשירים משובצים שבהם התוכנה המשולבת נחשבת כחדשה וייחודית.
דוגמאות בעולם האמיתי לאיום העתק-הדבק
DeFi לא נותר ללא פגע מהפרקטיקות הנוראיות של העתק הדבק. ישנם פרויקטים של DeFi שמעתיקים והדבקים קודי חוזים חכמים של Uniswap, Compound ופרוטוקולים מוצלחים אחרים. מה שנורא יותר בתרגול כזה הוא שלעתים קרובות הם מעתיקים אותו עם שגיאות - מה שהופך את עבודת התוקפים לחתיכת עוגה!
אחת הדוגמאות האחרונות להתקפה כזו הייתה 'Uranium Finance' מבוסס BSC, זה היה מזלג Uniswap V2 שנוצל ב-28 באפריל 2021 עבור $ 57 מיליון. מפתח Fulcrum - קייל קיסטנר ציין שמפתחי אורניום העתיקו את קוד SushiSwap (כבר שיבוט של Uniswap), הם החליפו את מספר 1,000 ב-10,000 בכל מקום - למעט מקרה אחד:
מקור: Tweet
דוגמה נוספת לסכנת העתק-הדבק היא 'BurgerSwap' - שנפרצה ב-28 במאי 2021 עם הפסד מוערך של -7.2 מיליון דולר.
"לפי מייסד יוניסוואפ היידן אדמס, ניתן היה להימנע מכך בקלות."
זה גם חילץ את הקוד של Uniswap, אבל החמיץ חלק: x*y = k check, זה מילא תפקיד חשוב בחישוב הערך של כל אסימון. בלי זה, התוקף החליף כל כמות קטנה על ידי יצירת אסימון דמה עבורו אלפי BNB & BURGER.
סיכום
העתק והדבק לא הכל רע. במצבים מסוימים, הם יכולים להיות מאוד שימושיים עבור פרויקט ליישם במהירות אלמנט מסוים שכבר נבנה כראוי. במקרים אחרים, זה עשוי גם לעזור לך להישאר עם המצב הקיים וליישם משהו שמקובל כפתרון.
עם זאת, DeFi אינו המקום המתאים לכך. גם אם יש רק כמה שורות של קודים שאתה צריך לשנות, העתק והדבק לא מומלץ. כמומחים בביקורת חוזים חכמים ראינו כמה חברות, בעלות כוונות וחזונות טובים, נכשלות בגלל פרקטיקות כאלה. הסיבה העיקרית היא לא רק נקודות תורפה אלא חוסר היכולת לקבל את אמון המשתמשים. וכל מרחב ה-DeFi נולד מתוך הצורך באמון.
גם אם תחליט ללכת על העתק-הדבק בגלל גורמים והצדקות מסוימות, בדיקת הקוד ביסודיות צריכה להיות בראש רשימת העדיפויות שלך. גם אם הקוד עבר ביקורת, אין זה אומר שהעותק יהיה מאובטח כמו הקוד המקורי. לדוגמה, ייתכן שהאורקל שבו נעשה שימוש בקוד המקורי עבר לגרסה חדשה וכאשר אתה מעתיק את הקוד, ייתכן שהגרסה החדשה של האורקל אינה תואמת לגרסה הישנה של הקוד, והפגיעות מוצגת. אז כדי להבטיח שהרעיון והחזון השאפתניים שלך יהפכו למציאות באמצעות קוד ה-DeFi שלך, לערוך ביקורת לפני שהעמיד מיליוני דולרים על כף המאזניים.
פנה אל קווילהאש
עם נוכחות בתעשייה של שנים, QuillHash סיפקה פתרונות ארגוניים ברחבי העולם. QuillHash עם צוות מומחים הינה חברה מובילה לפיתוח בלוקצ'יין המספקת פתרונות שונים בתעשייה, כולל Enterprise DeFi. אם אתה זקוק לסיוע כלשהו בביקורת החוזים החכמים, אל תהסס לפנות למומחים שלנו כאן!
עקוב אחר QuillHash לקבלת עדכונים נוספים
מקור: https://blog.quillhash.com/2021/08/04/why-copy-paste-in-defis-are-scarier-than-clowns/
- &
- 000
- 2019
- גישה
- יתרון
- תעשיות
- תפוח עץ
- אַפּרִיל
- סביב
- בדיקה
- B
- binance
- blockchain
- bnb
- חרק
- באגים
- מקרים
- גרם
- סיכויים
- קוד
- מטבע
- Common
- קהילה
- חברות
- חברה
- תרכובת
- חוזה
- חוזים
- קריפטו
- נתונים
- DeFi
- לפתח
- מפתח
- מפתחים
- צעצועי התפתחות
- התקנים
- דולר
- המערכת האקולוגית
- מִפְעָל
- מומחים
- פָּנִים
- פייסבוק
- כספי
- ראשון
- מזלג
- טופס
- מייסד
- חופשי
- כללי
- טוב
- האקר
- גָבוֹהַ
- איך
- איך
- HTTPS
- עצום
- רעיון
- לזהות
- כולל
- תעשייה
- IT
- מקומות תעסוקה
- ידע
- שפות
- האחרון
- עוֹפֶרֶת
- מוביל
- למד
- רישיון
- אוֹר
- מוגבל
- לינקדין
- רשימה
- גדול
- עשייה
- שוק
- ממים
- מִילִיוֹן
- כסף
- חדשות
- לפתוח
- קוד פתוח
- אורקל
- אחר
- בעלים
- אֲנָשִׁים
- פרספקטיבה
- עני
- המוצר
- פּרוֹיֶקט
- פרויקטים
- איכות
- מציאות
- סיבות
- מחקר
- REST
- תוצאות
- רמאים
- אבטחה
- סמנטיקה
- שירותים
- שיתוף
- קצר
- קטן
- חכם
- חוזה חכם
- חוזים חכמים
- So
- תוכנה
- פתרונות
- מֶרחָב
- לבלות
- יתד
- מצב
- להשאר
- מוצלח
- הפתעה
- מערכת
- טכנולוגיה
- זמן
- אסימון
- חלק עליון
- מעקב
- סומך
- Uniswap
- us
- משתמשים
- ערך
- חזון
- פגיעויות
- פגיעות
- מילים
- תיק עבודות
- שנים
![כיצד לזהות התקפת Cryptojacking? [עם מניעה ופתרונות] PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.](https://platoblockchain.com/wp-content/uploads/2021/07/how-to-detect-cryptojacking-attack-with-prevention-and-solutions-300x37.jpg "כיצד לזהות מתקפת Cryptojacking? [עם מניעה ופתרונות]")