우리는 수년간 복사-붙여넣기 농담을 해왔습니다. CTRL + C 및 CTRL + V의 모든 밈을 기억하십니까? 글쎄, 그들은 우리가 잘못된 목적으로 그들을 사용했기 때문에 우리를 괴롭히기 위해 왔습니다.
IT 산업에 특정한 복사 및 붙여넣기는 소프트웨어를 재사용하는 오래되고 일반적인 형태입니다. 대부분의 사람들은 시간과 노력을 절약하기 위해 그것을 하고, 다른 사람들은 스스로 시간을 보내고 싶지 않기 때문에 그것을 사용합니다. 둘 다 결국 결과에 직면합니다.
수많은 단점 중에서 가장 눈에 띄는 것은 기존 코드를 복사할 때 시스템 전체에 버그와 보안 취약점이 복제된다는 것입니다. 코드를 복사하여 붙여넣는 관행을 허용해야 하는지 여부는 장단점으로 인해 논쟁의 여지가 있지만 수정되지 않은 복사된 코드로 인해 발생하는 오류가 심각한 상황으로 이어질 수 있다는 점에는 모두 동의할 수 있습니다. 크립토 및 DeFi 생태계와 관련하여 스테이크는 훨씬 더 높습니다.
DeFi는 얽힌 공간입니다. 액세스 측면뿐만 아니라 기술 구현 측면에서도 모두에게 무료입니다. 대부분의 DeFi 프로토콜과 아이디어는 오픈 소스이므로 누구나 도울 수 있지만 이로 인해 양날의 검이 되었습니다. 캠프의 한쪽에서는 DeFi 프로젝트가 개선되도록 돕고 다른 쪽에서는 자체 솔루션을 개발하기 위해 프로젝트와 코드를 복사합니다.
무엇이 애플을 성공적인 회사로 만들었을까? 스티브 잡스는 울타리의 뒷면을 그리는 것이 다른 사람이 볼 수 없더라도 앞면을 그리는 것만큼 중요하다는 것을 알고 있었습니다. 품질뿐만 아니라 독창성도 충성도 높은 팬층을 형성하는 데 중요한 역할을 합니다.
그러나 고유성 요소를 넘어 DeFi 공간이 깨닫지 못한 것은 복사하는 코드 자체가 완전하지 않다는 것입니다. 모든 DeFi 프로토콜은 빠르게 진화하고 있으며 스스로를 탐색하고 있습니다. 따라서 모든 프로토콜이 새로운 버그를 발견할 수 있습니다. 코드가 잘 감사되어도 새로운 버그가 드러날 수 있고, 핵심 팀에서 구현한 원래 개념이 있어야만 이러한 버그로부터 프로토콜을 보호할 수 있습니다.
DeFi에서 복사-붙여넣기의 위험성
특히 DeFi 공간의 경우 복사된 코드는 막대한 재정적 손실을 초래할 수 있습니다. 그 외에도 대부분의 복사-붙여넣기는 복사하는 사람에 대한 제한된 지식으로 인해 품질이 좋지 않아 시간 낭비, 원치 않는 수정, 가장 중요한 해커 공격으로 이어집니다.
얼마 전 DeFi 업계는 Binance Smart Chain DeFi 프로토콜이 팬케이크 버니가 착취당했습니다. 플래시 대출 공격에 의해 결과적으로 커뮤니티는 1억 달러의 손실을 입은 것으로 믿어졌습니다.
DeFi 제품을 선택하기 전에 코드의 품질과 고유성을 확인하는 것은 매우 중요합니다. 이 공간의 전문가가 한 번만 보면 코드가 복사되었는지 여부를 쉽게 식별할 수 있습니다.
코드를 복사함으로써 개발자가 데이터를 복사할 뿐만 아니라 버그와 취약점도 복사한다는 것을 이해하는 것이 매우 중요합니다. 게다가 프로그래머가 코드를 복사하려고 할 때 미묘한 의미가 나타날 수 있습니다. DeFI 산업이 그렇게 많은 해커 공격에 직면했고 대부분이 성공적이었다는 것은 놀라운 일이 아닙니다. 2019년부터, 해커 공격으로 약 285억 XNUMX만 달러의 손실이 발생했습니다.
출처: 아틀라스VPN
따라서 배운 첫 번째 교훈은 "항상 코드를 확인"하는 것입니다. 제품 오너라도 팀에서 개발 중인 코드를 확인해야 합니다.
사전 경고는 무장되어 있습니다. 찾고 있는 것이 무엇인지 안다면 사기꾼이 제품을 악용할 가능성을 줄일 수 있습니다. DeFi 커뮤니티의 많은 좋은 점 중 하나는 코딩 방법을 모르더라도 프로젝트 주변에 공개 코드가 있으며 사람들이 흥미롭다고 생각하면 커뮤니티가 반드시 연구를 수행하고 나머지와 결과를 공유할 것이라는 점입니다. 사람들의.
대부분의 개발자는 코드를 복사하여 붙여넣는 것이 일반적으로 나쁜 습관이라는 사실에 동의할 것입니다. 코드를 변경하거나 새 코드를 만드는 데 시간, 노력 및 비용이 필요하기 때문에 일반적입니다.
이것이 반드시 코드 재사용이 나쁘다는 것을 의미하지는 않습니다. 코드는 재사용할 수 있으며 시간과 노력을 절약할 수 있으므로 적절한 곳에 재사용해야 합니다. 그러나 이 코드는 수정 후 전문적인 방식으로 감사해야 합니다.
DeFi에서 복사-붙여넣기를 피해야 하는 이유
DeFi 공간에서 복사 붙여넣기를 피해야 하는 몇 가지 이유는 다음과 같습니다.
가난한 재사용
모든 코드에는 고유한 종속성이 있습니다. 그것들이 일반적이더라도 종속성, 라이브러리, 언어 및 코드 자체의 버전은 계속 업데이트됩니다. 즉, 최신 코드를 복사하더라도 복사를 아무리 잘해도 재사용이 좋지 않습니다.
취약점 상속
동전에는 항상 양면이 있습니다. 프로젝트의 이익을 상속받으려면 손실도 상속해야 합니다. 코드 복사의 가장 일반적인 문제는 원본 코드에 내재된 문제를 복사하는 것입니다. 가장 나쁜 점은 복사된 코드가 특정 목적을 위해 수정되어 버그를 추적하는 것이 더 어려워진다는 것입니다. 감사의 관점에서도 약간의 수정으로 복사된 코드는 감사하기가 훨씬 더 어려워집니다.
새로운 오류 소개
코드를 복사하는 경우 시장 출시 시간을 단축하여 코드를 이해하고 이해할 시간이 없을 수 있습니다. 새로운 수정 작업은 기존 코드 기능과 관련이 있을 수 있으므로 쉽게 식별할 수 없는 새로운 취약점으로 이어질 가능성이 매우 높습니다.
즉, 원본 코드를 이해하지 못한 채 편집이 이루어지므로 오류가 발생하기 쉽습니다.
라이선스 문제
오픈 소스 프로젝트에서 코드를 복사하여 붙여넣는 것은 쉽지만 복사된 코드의 라이선스 의미를 이해하지 못하는 것은 문제가 될 수 있으며, 온보드 소프트웨어가 새롭고 고유한 것으로 간주되는 임베디드 장치의 경우 더욱 그렇습니다.
복사-붙여넣기 위협의 실제 사례
DeFi는 복사 붙여넣기의 끔찍한 관행에 영향을 받지 않습니다. Uniswap, Compound 및 기타 성공적인 프로토콜의 스마트 계약 코드를 복사하여 붙여넣는 DeFi 프로젝트가 있습니다. 이러한 관행의 더 끔찍한 점은 종종 오류와 함께 복사한다는 것입니다.
이러한 공격의 가장 최근 사례 중 하나는 BSC 기반 'Uranium Finance'였습니다. 이것은 2년 28월 2021일 다음을 위해 악용된 Uniswap VXNUMX 포크였습니다. $ 57 만. Fulcrum 개발자 – Kyle Kistner는 Uranium 개발자가 SushiSwap(이미 Uniswap 복제) 코드를 복사했으며, 한 가지 경우를 제외하고 모든 곳에서 1,000을 10,000으로 대체했다고 지적했습니다.
출처 : 트윗
복사-붙여넣기 위험의 또 다른 예는 28년 2021월 7.2일 해킹된 'BurgerSwap'으로 추정 손실액은 XNUMX만 달러입니다.
"Uniswap 설립자인 Hayden Adams에 따르면, 그것은 쉽게 피할 수 있었습니다."
또한 Uniswap의 코드를 분기했지만 x*y = k 확인 부분에서 누락되었습니다. 각 토큰의 가치를 계산하는 데 중요한 역할을 했습니다. 이것이 없으면 공격자는 수천 개의 BNB & BURGER.
결론
복사하여 붙여넣기가 모두 나쁜 것은 아닙니다. 특정 상황에서는 프로젝트가 이미 제대로 빌드된 특정 요소를 빠르게 구현하는 데 매우 유용할 수 있습니다. 다른 경우에는 현재 상태를 유지하고 솔루션으로 수용 가능한 것을 구현하는 데 도움이 될 수도 있습니다.
그러나 DeFi는 이에 적합한 공간이 아닙니다. 수정해야 하는 코드가 몇 줄만 있어도 복사하여 붙여넣는 것은 권장하지 않습니다. 스마트 계약 감사의 전문가로서 우리는 좋은 의도와 비전을 가진 여러 회사가 다음과 같은 이유로 실패하는 것을 보았습니다. 그러한 관행. 핵심 이유는 취약점뿐만 아니라 사용자의 신뢰를 얻지 못하는 것입니다. 그리고 전체 DeFi 공간은 신뢰의 필요성에서 태어났습니다.
특정 요인과 정당화로 인해 복사 붙여넣기를 하기로 결정했더라도 코드를 철저히 감사하는 것이 우선 순위 목록의 맨 위에 있어야 합니다. 코드를 감사했다고 해서 복사본이 원본 코드만큼 안전하게 보호되는 것은 아닙니다. 예를 들어, 원본 코드에서 사용하던 오라클이 새 버전으로 옮겨져 코드를 복사할 때 해당 오라클의 새 버전이 이전 버전의 코드와 호환되지 않을 수 있어 취약점이 도입된다. 여러분의 야심찬 아이디어와 비전이 DeFi 코드를 통해 현실이 되도록 감사를 받다 수백만 달러를 위험에 빠뜨리기 전에.
QuillHash에 연락
오랜 세월 동안 업계의 존재로, 퀼해시 전 세계에 엔터프라이즈 솔루션을 제공했습니다. 전문가 팀이있는 QuillHash는 DeFi 기업을 포함한 다양한 산업 솔루션을 제공하는 선도적 인 블록 체인 개발 회사입니다. 스마트 계약 감사에 도움이 필요하면 언제든지 전문가에게 문의하십시오. 여기에!
더 많은 업데이트를 위해 QuillHash를 팔로우하세요
출처: https://blog.quillhash.com/2021/08/04/why-copy-paste-in-defis-are-scarier-than-clowns/
- &
- 000
- 2019
- ACCESS
- 이점
- All
- Apple
- Apr
- 약
- 회계 감사
- 억원
- 빈스
- blockchain
- BNB
- 곤충
- 버그
- 가지 경우
- 발생
- 승산
- 암호
- 동전
- 공통의
- 커뮤니티
- 기업
- 회사
- 화합물
- 계약
- 계약
- 암호화는
- 데이터
- DeFi
- 개발
- 개발자
- 개발자
- 개발
- 디바이스
- 달러
- 생태계
- Enterprise
- 전문가
- 페이스메이크업
- 페이스북
- 금융
- 먼저,
- 포크
- 형태
- 설립자
- 무료
- 일반
- 좋은
- 해커
- 높은
- 방법
- How To
- HTTPS
- 거대한
- 생각
- 확인
- 포함
- 산업
- IT
- 작업
- 지식
- 언어
- 최근
- 리드
- 지도
- 배운
- 특허
- 빛
- 제한된
- 링크드인
- 명부
- 주요한
- 유튜브 영상을 만드는 것은
- 시장
- memes
- 백만
- 돈
- news
- 열 수
- 오픈 소스
- 신탁
- 기타
- 소유자
- 사람들
- 관점
- 가난한
- 프로덕트
- 프로젝트
- 프로젝트
- 품질
- 현실
- 이유
- 연구
- REST
- 결과
- 사기꾼
- 보안
- 의미론
- 서비스
- 공유
- 짧은
- 작은
- 스마트 한
- 똑똑한 계약
- 스마트 계약
- So
- 소프트웨어
- 솔루션
- 스페이스 버튼
- 지출
- 말뚝
- Status
- 유지
- 성공한
- 놀람
- 체계
- Technology
- 시간
- 토큰
- 상단
- 추적
- 믿어
- Uniswap
- us
- 사용자
- 가치
- 시력
- 취약점
- 취약점
- 말
- 작업
- 년
![크립토재킹 공격을 탐지하는 방법은 무엇입니까? [예방 및 솔루션으로] PlatoBlockchain 데이터 인텔리전스. 수직 검색. 일체 포함.](https://platoblockchain.com/wp-content/uploads/2021/07/how-to-detect-cryptojacking-attack-with-prevention-and-solutions-300x37.jpg "Cryptojacking 공격을 감지하는 방법은 무엇입니까? [예방 및 솔루션 포함]")
