Há anos que fazemos piadas sobre copiar e colar. Lembra de todos os memes de CTRL + C e CTRL + V? Bem, eles vieram nos assombrar porque os temos usado para o propósito errado.
Específico para o setor de TI, copiar e colar é uma forma antiga e comum de reutilização de software. A maioria das pessoas faz isso para economizar tempo e esforço, outras usam porque não querem perder tempo fazendo isso sozinhas, e ambas acabam enfrentando as consequências.
De uma infinidade de desvantagens, a mais importante é a duplicação de bugs e vulnerabilidades de segurança em todo o sistema quando você copia um código existente. Se a prática de copiar e colar um código deve ser permitida ou não é discutível devido aos seus prós e contras, mas o fato com o qual todos concordamos é que erros introduzidos por um código copiado não modificado podem levar a situações graves. Os riscos são ainda maiores quando se trata do ecossistema criptográfico e DeFi.
DeFi é um espaço emaranhado. É gratuito para todos, não apenas em termos de acesso, mas também em termos de implementação de tecnologia. A maioria dos protocolos e ideias DeFi são de código aberto para que qualquer pessoa possa ajudar, mas devido a isso tornou-se uma faca de dois gumes. Um lado do campo está ajudando os projetos DeFi a se tornarem melhores, enquanto o outro lado está copiando os projetos e o código para desenvolver sua própria solução.
O que tornou a Apple uma empresa de sucesso? Steve Jobs sabia que pintar a parte de trás da cerca é tão importante quanto pintar a frente, mesmo que ninguém mais veja. Não apenas a qualidade, mas também a exclusividade desempenha um papel importante na criação de uma base de fãs leais.
Mas mesmo além do fator de exclusividade, o que o espaço DeFi não conseguiu perceber é que o código que eles estão copiando não está completo. Cada protocolo DeFi está evoluindo rapidamente e se explorando. Portanto, cada protocolo existente pode descobrir alguns novos bugs. Mesmo que o código seja bem auditado, novos bugs podem surgir e um protocolo só pode ser protegido contra tais bugs se tiver o conceito original implementado por uma equipe principal.
Os perigos de copiar e colar no DeFi
Especialmente para o espaço DeFi, um código copiado pode levar a enormes perdas financeiras. Além disso, a maior parte do copiar e colar é de baixa qualidade devido ao conhecimento limitado da pessoa que copia, o que leva à perda de tempo, modificações indesejadas e, o mais importante, a ataques de hackers.
Há algum tempo, a indústria DeFi foi atingida pela notícia de que o protocolo Binance Smart Chain DeFi Pancake Bunny foi explorado devido a um ataque de empréstimo rápido, como resultado, acredita-se que a comunidade tenha enfrentado uma perda de US$ 1 bilhão.
Antes de escolher o produto DeFi, é muito necessário verificar a qualidade e exclusividade do código. Uma olhada de um profissional neste espaço pode facilmente identificar se o código foi copiado ou não.
É muito importante entender que ao copiar um código, os desenvolvedores não apenas copiam os dados, mas também copiam bugs e vulnerabilidades. Além disso, quando os programadores tentam copiar o código, pode surgir uma semântica mais sutil. Não é nenhuma surpresa que a indústria DeFI tenha enfrentado tantos ataques de hackers, muitos dos quais foram bem-sucedidos. Desde 2019, ataques de hackers causaram uma perda de cerca de US$ 285 milhões.
Fonte: Atlas VPN
Portanto, a primeira lição aprendida é “sempre verificar o código”. Mesmo que você seja product owner, você deve verificar o código que está sendo desenvolvido por sua equipe.
Prevenido vale por dois - se você souber o que está procurando, poderá diminuir as chances de golpistas se aproveitarem de seu produto. Uma das muitas coisas boas da comunidade DeFi é que mesmo que você não saiba codificar, o projeto tem um código aberto e se as pessoas acharem interessante, a comunidade certamente fará pesquisas e compartilhará os resultados com o resto. das pessoas.
A maioria dos desenvolvedores concordaria com o fato de que copiar e colar códigos é uma má prática em geral. É comum porque alterar o código ou criar um novo exigirá tempo, esforço e dinheiro.
Isso não significa necessariamente que a reutilização de código seja ruim. Um código pode ser reutilizado e deve ser reutilizado sempre que for adequado, pois economiza tempo e esforço. No entanto, este código precisa ser auditado de forma profissional após modificações.
Razões para evitar copiar e colar no DeFi
A seguir mencionadas estão mais algumas razões pelas quais copiar e colar deve ser evitado no espaço DeFi:
Má reutilização
Cada código tem suas próprias dependências. Mesmo que sejam genéricos, a versão das dependências, bibliotecas, linguagens e o próprio código continuam sendo atualizados. Isso significa que, mesmo que você copie o código mais recente, a reutilização será ruim, não importa quão bom você seja em copiar.
Herdando as vulnerabilidades
Sempre há dois lados de uma moeda. Se você quiser herdar os lucros de um projeto, terá que herdar também as perdas. O problema mais comum de copiar um código é copiar os problemas inerentes ao código original. A pior parte é que o código copiado é modificado para sua finalidade específica e, portanto, rastrear o bug se torna mais difícil. Mesmo do ponto de vista de auditoria, um código copiado com poucas modificações torna-se ainda mais difícil de ser auditado.
Apresentando novos erros
Se você estiver copiando um código, é provável que queira um tempo curto de lançamento no mercado, para não ter tempo para entender o código dentro e fora. Qualquer nova modificação que você fizer terá uma probabilidade muito alta de levar a uma nova vulnerabilidade que não pode ser identificada facilmente, pois pode estar ligada às funcionalidades de código existentes.
Ou seja, as edições são feitas sem a compreensão do código original tornando-o mais sujeito a erros.
Problemas de licenciamento
É fácil copiar e colar códigos de projetos de código aberto, mas não compreender as implicações da licença do código copiado pode ser um problema, ainda mais para dispositivos embarcados onde o software integrado é considerado novo e único.
Exemplos do mundo real da ameaça copiar e colar
O DeFi não fica imune às terríveis práticas de copiar e colar. Existem projetos DeFi que copiam e colam códigos de contratos inteligentes de Uniswap, Compound e outros protocolos de sucesso. O que é mais terrível nessa prática é que muitas vezes eles a copiam com erros – tornando o trabalho dos invasores muito fácil!
Um dos exemplos muito recentes de tal ataque foi o ‘Uranium Finance’ baseado no BSC, um fork do Uniswap V2 que foi explorado em 28 de abril de 2021 para $ 57 milhões. Desenvolvedor Fulcrum – Kyle Kistner apontou que os desenvolvedores do Uranium copiaram o código do SushiSwap (já um clone do Uniswap), eles substituíram o número 1,000 por 10,000 em todos os lugares – exceto em um caso:
fonte: Tweet
Outro exemplo do perigo de copiar e colar é o ‘BurgerSwap’ – hackeado em 28 de maio de 2021 com uma perda estimada de –$ 7.2 milhões.
“De acordo com o fundador do Uniswap, Hayden Adams, isso poderia ter sido facilmente evitado.”
Ele também bifurcou o código do Uniswap, mas perdeu uma parte: x*y = k check, ele desempenhou um papel importante no cálculo do valor de cada token. Sem isso, o invasor trocou cada pequena quantia criando um token fictício para milhares de BNB e BURGER.
Conclusão
Copiar e colar não é de todo ruim. Em determinadas situações, podem ser muito úteis para um projeto implementar rapidamente um determinado elemento que já foi construído corretamente. Em outros casos, também pode ajudá-lo a manter o status quo e implementar algo que seja aceitável como solução.
No entanto, DeFi não é o espaço certo para isso. Mesmo que haja apenas algumas linhas de código que você precise modificar, copiar e colar não é recomendado. Como especialistas em auditorias de contratos inteligentes temos visto diversas empresas, com boas intenções e visões, falharem devido a tais práticas. O principal motivo não são apenas as vulnerabilidades, mas a incapacidade de obter a confiança dos usuários. E todo o espaço DeFi nasce da necessidade de confiança.
Mesmo que você decida copiar e colar devido a certos fatores e justificativas, auditar completamente o código deve estar no topo de sua lista de prioridades. Mesmo que o código tenha sido auditado, isso não significa que a cópia será tão segura quanto o código original. Por exemplo, o oráculo usado no código original pode ter mudado para uma nova versão e quando você copia o código, essa nova versão do oráculo pode não ser compatível com a versão antiga do código e a vulnerabilidade é introduzida. Portanto, para garantir que sua ideia e visão ambiciosas se tornem realidade por meio de seu código DeFi, auditá-lo antes de colocar milhões de dólares em jogo.
Entre em contato com o QuillHash
Com uma presença no setor há anos, QuillHash forneceu soluções corporativas em todo o mundo. A QuillHash com uma equipe de especialistas é uma empresa líder de desenvolvimento de blockchain que fornece várias soluções do setor, incluindo DeFi enterprise. Se você precisar de ajuda na auditoria de contratos inteligentes, sinta-se à vontade para entrar em contato com nossos especialistas aqui!
Siga QuillHash para mais atualizações
Fonte: https://blog.quillhash.com/2021/08/04/why-copy-paste-in-defis-are-scarier-than-clowns/
- &
- 000
- 2019
- Acesso
- Vantagem
- Todos os Produtos
- Apple
- Abril
- por aí
- auditor
- bilhão
- binário
- blockchain
- bnb
- Bug
- erros
- casos
- causado
- chances
- código
- Moeda
- comum
- comunidade
- Empresas
- Empresa
- Compound
- contract
- contratos
- cripto
- dados,
- DeFi
- desenvolver
- Developer
- desenvolvedores
- Desenvolvimento
- Dispositivos/Instrumentos
- dólares
- ecossistema
- Empreendimento
- especialistas
- Rosto
- financeiro
- Primeiro nome
- garfo
- formulário
- fundador
- Gratuito
- Geral
- Bom estado, com sinais de uso
- cabouqueiro
- Alta
- Como funciona o dobrador de carta de canal
- Como Negociar
- HTTPS
- enorme
- idéia
- identificar
- Incluindo
- indústria
- IT
- Empregos
- Conhecimento
- Idiomas
- mais recente
- conduzir
- principal
- aprendido
- Licença
- leve
- Limitado
- Lista
- principal
- Fazendo
- mercado
- memes
- milhão
- dinheiro
- notícias
- aberto
- open source
- oráculo
- Outros
- proprietário
- Pessoas
- perspectiva
- pobre
- Produto
- projeto
- projetos
- qualidade
- Realidade
- razões
- pesquisa
- DESCANSO
- Resultados
- Scammers
- segurança
- semântica
- Serviços
- Partilhar
- Baixo
- pequeno
- smart
- smart contract
- Smart Contracts
- So
- Software
- Soluções
- Espaço
- gastar
- estaca
- Status
- ficar
- bem sucedido
- surpresa
- .
- Tecnologia
- tempo
- token
- topo
- Rastreamento
- Confiança
- Uniswap
- us
- usuários
- valor
- visão
- vulnerabilidades
- vulnerabilidade
- palavras
- Atividades:
- anos
![Como detectar um ataque de Cryptojacking? [Com prevenção e soluções] PlatoBlockchain Data Intelligence. Pesquisa vertical. Ai.](https://platoblockchain.com/wp-content/uploads/2021/07/how-to-detect-cryptojacking-attack-with-prevention-and-solutions-300x37.jpg "Como detectar um ataque de Cryptojacking? [Com prevenção e soluções]")
