We maken al jaren copy-paste grappen. Herinner je je alle memes van CTRL + C en CTRL + V nog? Welnu, ze zijn ons komen achtervolgen omdat we ze voor het verkeerde doel hebben gebruikt.
Specifiek voor de IT-industrie is kopiëren en plakken een oude en veel voorkomende vorm van hergebruik van software. De meeste mensen doen het om tijd en moeite te besparen, anderen gebruiken het omdat ze er zelf geen tijd aan willen besteden, en uiteindelijk krijgen ze allebei de gevolgen.
Van een overvloed aan nadelen, de meest prominente is het dupliceren van bugs en beveiligingsproblemen door het hele systeem wanneer u een bestaande code kopieert. Of het kopiëren en plakken van een code moet worden toegestaan of niet, is discutabel vanwege de voor- en nadelen, maar dat feit waar we het allemaal over eens zijn, is dat fouten die worden geïntroduceerd door een ongewijzigde gekopieerde code tot ernstige situaties kunnen leiden. De inzet is zelfs nog hoger als het gaat om het crypto- en DeFi-ecosysteem.
DeFi is een verwarde ruimte. Het is gratis voor iedereen, niet alleen in termen van toegang, maar ook in termen van technologische implementatie. De meeste DeFi-protocollen en -ideeën zijn open source, zodat iedereen kan helpen, maar hierdoor is het een tweesnijdend zwaard geworden. De ene kant van het kamp helpt de DeFi-projecten om beter te worden, terwijl de andere kant de projecten en code kopieert om hun eigen oplossing te ontwikkelen.
Wat maakte Apple tot een succesvol bedrijf? Steve Jobs wist dat het schilderen van de achterkant van het hek net zo belangrijk is als het schilderen van de voorkant, zelfs als niemand anders het zal zien. Niet alleen de kwaliteit maar ook de uniciteit speelt een grote rol om een trouwe fanbase te creëren.
Maar zelfs buiten de uniciteitsfactor, heeft de DeFi-ruimte zich niet gerealiseerd dat de code die ze kopiëren zelf niet compleet is. Elk DeFi-protocol evolueert snel en onderzoekt zichzelf. Daarom kan elk protocol dat er is nieuwe bugs ontdekken. Zelfs als de code goed wordt gecontroleerd, kunnen nieuwe bugs aan het licht komen en kan een protocol alleen tegen dergelijke bugs worden beveiligd als het oorspronkelijke concept door een kernteam wordt geïmplementeerd.
De gevaren van kopiëren en plakken in DeFi
Vooral voor de DeFi-ruimte kan een gekopieerde code leiden tot enorme financiële verliezen. Bovendien is de meeste copy-paste van slechte kwaliteit vanwege de beperkte kennis van de persoon die kopieert, wat leidt tot tijdverspilling, ongewenste wijzigingen en vooral hackeraanvallen.
Enige tijd geleden werd de DeFi-industrie getroffen door het nieuws dat het Binance Smart Chain DeFi-protocol Pancake Bunny is uitgebuit door een flitsleningaanval, als gevolg daarvan werd aangenomen dat de gemeenschap een verlies van $ 1 miljard had geleden.
Voordat u het DeFi-product kiest, is het zeer noodzakelijk om de kwaliteit en uniciteit van de code te controleren. Een blik door een professional in deze ruimte kan gemakkelijk identificeren dat de code is gekopieerd of niet.
Het is erg belangrijk om te begrijpen dat door het kopiëren van een code, de ontwikkelaars niet alleen de gegevens kopiëren, maar ook bugs en kwetsbaarheden kopiëren. Wanneer programmeurs de code proberen te kopiëren, kan bovendien een subtielere semantiek ontstaan. Het is geen verrassing dat de DeFI-industrie te maken kreeg met zoveel hackeraanvallen, waarvan de meeste succesvol waren. Sinds 2019, hackeraanvallen hebben geleid tot een verlies van ongeveer $ 285 miljoen.
Bron: Atlas-VPN
Daarom is de eerste les die we hebben geleerd om "altijd de code te controleren". Zelfs als u een producteigenaar bent, moet u de code controleren die door uw team wordt ontwikkeld.
Een gewaarschuwd mens is een voorbode - als u weet waarnaar u op zoek bent, kunt u de kans verkleinen dat oplichters misbruik maken van uw product. Een van de vele goede dingen van de DeFi-gemeenschap is dat zelfs als je niet weet hoe je moet coderen, het project een open code heeft en als mensen het interessant vinden, zal de gemeenschap zeker onderzoek doen en de resultaten delen met de rest van de mensen.
De meeste ontwikkelaars zijn het erover eens dat het kopiëren en plakken van codes in het algemeen een slechte gewoonte is. Het is gebruikelijk omdat het wijzigen van de code of het maken van een nieuwe tijd, moeite en geld kost.
Dit betekent niet noodzakelijk dat hergebruik van code slecht is. Een code kan worden hergebruikt en moet waar nodig worden hergebruikt, omdat dit tijd en moeite bespaart. Deze code dient echter na aanpassingen op professionele wijze te worden geaudit.
Redenen om kopiëren en plakken in DeFi . te vermijden
Hieronder worden nog enkele redenen genoemd waarom kopiëren en plakken in de DeFi-ruimte moet worden vermeden:
Slecht hergebruik
Elke code heeft zijn eigen afhankelijkheden. Zelfs als ze generiek zijn, blijft de versie van de afhankelijkheden, bibliotheken, talen en de code zelf updaten. Dit betekent dat, zelfs als u de nieuwste code kopieert, het hergebruik slecht zal zijn, hoe goed u ook bent in kopiëren.
De kwetsbaarheden erven
Een munt heeft altijd twee kanten. Als u de winst van een project wilt erven, moet u ook de verliezen erven. Het meest voorkomende probleem bij het kopiëren van een code is het kopiëren van de problemen die inherent zijn aan de originele code. Het ergste is dat de gekopieerde code is aangepast voor zijn specifieke doel en daarom wordt het moeilijker om de bug op te sporen. Zelfs vanuit het oogpunt van auditing wordt een gekopieerde code met kleine aanpassingen nog moeilijker om te worden gecontroleerd.
Nieuwe fouten introduceren
Als je een code kopieert, is de kans groot dat je een korte go-to-market-tijd wilt, zodat je niet de tijd hebt om de code in en uit te begrijpen. Elke nieuwe wijziging die u aanbrengt, heeft een zeer grote kans om te leiden tot een nieuwe kwetsbaarheid die niet gemakkelijk kan worden geïdentificeerd, omdat deze mogelijk verband houdt met de bestaande codefunctionaliteiten.
Met andere woorden, de bewerkingen worden uitgevoerd zonder de originele code te begrijpen, waardoor deze meer vatbaar is voor fouten.
Licentieproblemen
Het is gemakkelijk om codes van open source-projecten te kopiëren en te plakken, maar het niet begrijpen van de licentie-implicaties van de gekopieerde code kan een probleem zijn, vooral voor embedded apparaten waar de ingebouwde software als nieuw en uniek wordt beschouwd.
Voorbeelden uit de praktijk van de dreiging van kopiëren en plakken
DeFi blijft niet onaangetast door de verschrikkelijke praktijken van kopiëren en plakken. Er zijn DeFi-projecten die slimme contractcodes van Uniswap, Compound en andere succesvolle protocollen kopiëren en plakken. Wat nog erger is aan dergelijke praktijken, is dat ze het vaak met fouten kopiëren - waardoor het werk van aanvallers een fluitje van een cent wordt!
Een van de zeer recente voorbeelden van een dergelijke aanval was de op BSC gebaseerde 'Uranium Finance', dit was een Uniswap V2-vork die op 28 april 2021 werd misbruikt voor $ 57 miljoen. Fulcrum-ontwikkelaar - Kyle Kistner wees erop dat uranium-ontwikkelaars SushiSwap (al een Uniswap-kloon) code kopieerden, ze vervingen overal nummer 1,000 door 10,000 - behalve in één geval:
bron: Tweet
Een ander voorbeeld van het gevaar van kopiëren en plakken is 'BurgerSwap' – gehackt op 28 mei 2021 met een geschat verlies van – $ 7.2 miljoen.
"Volgens Uniswap-oprichter Hayden Adams had het gemakkelijk voorkomen kunnen worden."
Het splitste ook de code van Uniswap, maar miste een stuk: x*y = k check, het speelde een belangrijke rol bij het berekenen van de waarde van elk token. Zonder dit ruilde de aanvaller elk klein bedrag door een dummy-token te maken voor duizenden BNB & BURGER.
Conclusie
Kopiëren en plakken is niet allemaal slecht. In bepaalde situaties kunnen ze erg handig zijn voor een project om snel een bepaald element te implementeren dat al goed is gebouwd. In andere gevallen kan het u ook helpen om bij de status-quo te blijven en iets te implementeren dat als oplossing aanvaardbaar is.
DeFi is er echter niet de juiste ruimte voor. Zelfs als er maar een paar regels codes zijn die u hoeft aan te passen, wordt kopiëren en plakken niet aanbevolen. Als specialisten in slimme contractaudits hebben we verschillende bedrijven met goede bedoelingen en visies zien falen vanwege: dergelijke praktijken. De belangrijkste reden is niet alleen kwetsbaarheden, maar ook het onvermogen om het vertrouwen van de gebruikers te krijgen. En de hele DeFi-ruimte is ontstaan uit de behoefte aan vertrouwen.
Zelfs als je besluit om te kopiëren en plakken vanwege bepaalde factoren en rechtvaardigingen, zou het grondig controleren van de code bovenaan je prioriteitenlijst moeten staan. Zelfs als de code is gecontroleerd, betekent dit niet dat de kopie net zo beveiligd is als de originele code. Het orakel dat in de oorspronkelijke code wordt gebruikt, is bijvoorbeeld mogelijk naar een nieuwe versie verschoven en wanneer u de code kopieert, is die nieuwe versie van het orakel mogelijk niet compatibel met de oude versie van de code en wordt de kwetsbaarheid geïntroduceerd. Dus om ervoor te zorgen dat uw ambitieuze idee en visie werkelijkheid worden door uw DeFi-code, laat het controleren alvorens miljoenen dollars op het spel te zetten.
Neem contact op met QuillHash
Met een jarenlange aanwezigheid in de branche QuillHash heeft wereldwijd bedrijfsoplossingen geleverd. QuillHash met een team van experts is een toonaangevend blockchain-ontwikkelingsbedrijf dat verschillende industrieoplossingen biedt, waaronder DeFi-onderneming.Als u hulp nodig heeft bij de audit van slimme contracten, neem dan gerust contact op met onze experts hier!
Volg QuillHash voor meer updates
Bron: https://blog.quillhash.com/2021/08/04/why-copy-paste-in-defis-are-scarier-than-clowns/
- &
- 000
- 2019
- toegang
- Voordeel
- Alles
- Apple
- April
- rond
- controleren
- Miljard
- binance
- blockchain
- bnb
- Bug
- bugs
- gevallen
- veroorzaakt
- kansen
- code
- Munt
- Gemeen
- gemeenschap
- Bedrijven
- afstand
- Samenstelling
- contract
- contracten
- crypto
- gegevens
- Defi
- ontwikkelen
- Ontwikkelaar
- ontwikkelaars
- Ontwikkeling
- systemen
- dollar
- ecosysteem
- Enterprise
- deskundigen
- Gezicht
- financieel
- Voornaam*
- vork
- formulier
- oprichter
- Gratis
- Algemeen
- goed
- hacker
- Hoge
- Hoe
- How To
- HTTPS
- reusachtig
- idee
- identificeren
- Inclusief
- -industrie
- IT
- Vacatures
- kennis
- Talen
- laatste
- leiden
- leidend
- geleerd
- Vergunning
- licht
- Beperkt
- Lijst
- groot
- maken
- Markt
- memes
- miljoen
- geld
- nieuws
- open
- open source
- orakel
- Overige
- eigenaar
- Mensen
- perspectief
- arm
- Product
- project
- projecten
- kwaliteit
- Realiteit
- redenen
- onderzoek
- REST
- Resultaten
- Oplichters
- veiligheid
- semantiek
- Diensten
- Delen
- Bermuda's
- Klein
- slim
- slim contract
- Slimme contracten
- So
- Software
- Oplossingen
- Tussenruimte
- besteden
- inzet
- Status
- blijven
- geslaagd
- verrassing
- system
- Technologie
- niet de tijd of
- teken
- top
- Tracking
- Trust
- uniswap
- us
- gebruikers
- waarde
- visie
- kwetsbaarheden
- kwetsbaarheid
- woorden
- Mijn werk
- jaar
![Hoe een Cryptojacking-aanval te detecteren? [Met preventie en oplossingen] PlatoBlockchain Data Intelligence. Verticaal zoeken. Ai.](https://platoblockchain.com/wp-content/uploads/2021/07/how-to-detect-cryptojacking-attack-with-prevention-and-solutions-300x37.jpg "Hoe een Cryptojacking-aanval te detecteren? [Met preventie en oplossingen]")
