Facem glume copy-paste de ani de zile. Îți amintești toate memele de la CTRL + C și CTRL + V? Ei bine, au venit să ne bântuie pentru că le-am folosit într-un scop greșit.
Specific industriei IT, copierea și lipirea sunt o formă veche și comună de reutilizare a software-ului. Majoritatea oamenilor o fac pentru a economisi timp și efort, alții o folosesc pentru că nu vor să-și petreacă timpul făcându-le ei înșiși, ambii se confruntă cu consecințele în cele din urmă.
Dintr-o multitudine de dezavantaje, cel mai proeminent este duplicarea erorilor și a vulnerabilităților de securitate în întregul sistem atunci când copiați un cod existent. Dacă practica de copiere și lipire a unui cod ar trebui permisă sau nu este discutabil din cauza avantajelor și dezavantajelor sale, dar faptul că putem fi de acord cu toții este că erorile introduse de un cod copiat nemodificat pot duce la situații grave. Mizele sunt și mai mari când vine vorba de ecosistemul cripto și DeFi.
DeFi este un spațiu încurcat. Este gratuit pentru toți, nu doar în ceea ce privește accesul, ci și în ceea ce privește implementarea tehnologiei. Majoritatea protocoalelor și ideilor DeFi sunt open-source, astfel încât oricine poate ajuta, dar din această cauză a devenit o sabie cu două tăișuri. O parte a taberei ajută proiectele DeFi să devină mai bune, în timp ce cealaltă parte copiază proiectele și codul pentru a-și dezvolta propria soluție.
Ce a făcut Apple o companie de succes? Steve Jobs știa că pictarea spatelui gardului este la fel de importantă precum pictarea față, chiar dacă nimeni altcineva nu o va vedea. Nu numai calitatea, ci și unicitatea joacă un rol major pentru a crea o bază de fani loiali.
Dar chiar și dincolo de factorul de unicitate, ceea ce spațiul DeFi nu a reușit să realizeze este că codul pe care îl copiază nu este în sine complet. Fiecare protocol DeFi evoluează rapid și se explorează singur. Prin urmare, fiecare protocol de acolo ar putea descoperi câteva erori noi. Chiar dacă codul este bine auditat, pot ieși la iveală noi erori și un protocol poate fi securizat de astfel de erori numai dacă are conceptul original implementat de o echipă de bază.
Pericolele copy-paste în DeFi
În special pentru spațiul DeFi, un cod copiat poate duce la pierderi financiare uriașe. În plus, majoritatea copy-paste sunt de proastă calitate din cauza cunoștințelor limitate ale persoanei care copiază, ceea ce duce la pierdere de timp, modificări nedorite și, cel mai important, atacuri de hacker.
Cu ceva timp în urmă, industria DeFi a fost lovită de vestea că protocolul Binance Smart Chain DeFi Pancake Bunny a fost exploatat printr-un atac de împrumut rapid, în consecință, se credea că comunitatea s-a confruntat cu o pierdere de un miliard de dolari.
Înainte de a alege produsul DeFi, este foarte necesar să verificați calitatea și unicitatea codului. O privire a unui profesionist în acest spațiu poate identifica cu ușurință dacă codul este copiat sau nu.
Este foarte important să înțelegeți că prin copierea unui cod, dezvoltatorii nu numai că copiază datele, ci și erorile și vulnerabilitățile. Mai mult, atunci când programatorii încearcă să copieze codul, poate apărea o semantică mai subtilă. Nu este surprinzător faptul că industria DeFI s-a confruntat cu atât de multe atacuri de hackeri, dintre care majoritatea au avut succes. Din 2019, atacurile hackerilor au cauzat o pierdere de aproximativ 285 de milioane de dolari.
Sursa: AtlasVPN
Prin urmare, prima lecție învățată este să „verificați întotdeauna codul”. Chiar dacă sunteți proprietar de produs, trebuie să verificați codul dezvoltat de echipa dumneavoastră.
Forewarned este prearmat – dacă știi ce cauți, poți reduce șansele ca escrocii să profite de produsul tău. Unul dintre multele lucruri bune despre comunitatea DeFi este că, chiar dacă nu știți cum să codificați, proiectul are un cod deschis în jurul lui și, dacă oamenii îl consideră interesant, comunitatea cu siguranță va efectua cercetări și va împărtăși rezultatele cu restul. a poporului.
Majoritatea dezvoltatorilor ar fi de acord cu faptul că copierea și lipirea codurilor este o practică proastă în general. Este obișnuit, deoarece schimbarea codului sau crearea unuia nou va necesita timp, efort și bani.
Acest lucru nu înseamnă neapărat că reutilizarea codului este proastă. Un cod poate fi reutilizat și ar trebui reutilizat oriunde este potrivit, deoarece economisește timp și efort. Cu toate acestea, acest cod trebuie să fie auditat într-un mod profesional după modificări.
Motive pentru a evita copy-paste în DeFi
Mai jos sunt menționate mai multe motive pentru care copierea lipirii ar trebui evitată în spațiul DeFi:
Reutilizare slabă
Fiecare cod are propriile sale dependențe. Chiar dacă sunt generice, versiunea dependențelor, bibliotecile, limbile și codul în sine continuă să se actualizeze. Aceasta înseamnă că, chiar dacă copiați cel mai recent cod, reutilizarea va fi slabă, indiferent cât de bun sunteți la copiere.
Moștenind vulnerabilitățile
Există întotdeauna două fețe la o monedă. Dacă doriți să moșteniți profiturile unui proiect, va trebui să moșteniți și pierderile. Cea mai frecventă problemă a copierii unui cod este copierea problemelor inerente codului original. Partea cea mai proastă este că codul copiat este modificat pentru scopul său specific și, prin urmare, urmărirea erorii devine mai dificilă. Chiar și din perspectiva auditării, un cod copiat cu mici modificări devine și mai dificil de auditat.
Introducerea de noi erori
Dacă copiați un cod, sunt șanse să doriți o perioadă scurtă de acces la piață, astfel încât să nu aveți timp să înțelegeți codul. Orice modificare nouă pe care o faceți va avea o probabilitate foarte mare de a duce la o nouă vulnerabilitate care nu poate fi identificată cu ușurință, deoarece poate avea legături cu funcționalitățile existente ale codului.
Cu alte cuvinte, editările sunt făcute fără a înțelege codul original, ceea ce îl face mai predispus la erori.
Probleme de licențiere
Este ușor să copiați și să lipiți coduri din proiecte open source, dar neînțelegerea implicațiilor de licență ale codului copiat poate fi o problemă, cu atât mai mult pentru dispozitivele încorporate în care software-ul integrat este considerat nou și unic.
Exemple din lumea reală ale amenințării copy-paste
DeFi nu este lăsat neatins de practicile teribile de copy paste. Există proiecte DeFi care copiază și inserează coduri de contract inteligente ale Uniswap, Compound și alte protocoale de succes. Ceea ce este mai îngrozitor cu o astfel de practică este că adesea o copiază cu erori – făcând munca atacatorilor o simplă simplă!
Unul dintre exemplele foarte recente de astfel de atac a fost „Uranium Finance” bazat pe BSC, acesta a fost o furcă Uniswap V2 care a fost exploatată pe 28 aprilie 2021 pentru $ 57 de milioane de. Dezvoltator Fulcrum – Kyle Kistner a subliniat că dezvoltatorii Uranium au copiat codul SushiSwap (deja o clonă Uniswap), au înlocuit numărul 1,000 cu 10,000 peste tot – cu excepția unui caz:
Sursa: Tweet
Un alt exemplu de pericol de copiere și lipire este „BurgerSwap” – piratat pe 28 mai 2021, cu o pierdere estimată la – 7.2 milioane USD.
„Potrivit fondatorului Uniswap, Hayden Adams, ar fi putut fi evitat cu ușurință.”
De asemenea, a bifurcat codul Uniswap, dar a ratat o piesă: x*y = k check, a jucat un rol important în calcularea valorii fiecărui jeton. Fără aceasta, atacatorul a schimbat fiecare sumă mică creând un jeton fals pentru mii de BNB & BURGER.
Concluzie
Copierea și lipirea nu sunt deloc rele. În anumite situații, acestea pot fi foarte utile pentru ca un proiect să implementeze rapid un anumit element care a fost deja construit corespunzător. În alte cazuri, s-ar putea, de asemenea, să vă ajute să rămâneți cu status quo-ul și să implementați ceva care este acceptabil ca soluție.
Cu toate acestea, DeFi nu este spațiul potrivit pentru el. Chiar dacă există doar câteva rânduri de coduri pe care trebuie să le modificați, nu este recomandat să copiați și să lipiți. În calitate de specialiști în auditurile de contracte inteligente, am văzut mai multe companii, având intenții și viziuni bune, eșuând din cauza astfel de practici. Motivul principal nu este doar vulnerabilități, ci și incapacitatea de a obține încrederea utilizatorilor. Și întreg spațiul DeFi se naște din nevoia de încredere.
Chiar dacă decideți să faceți un copy-paste din cauza anumitor factori și justificări, auditarea completă a codului ar trebui să fie în fruntea listei dvs. de priorități. Chiar dacă codul a fost auditat, aceasta nu înseamnă că copia va fi la fel de sigură ca codul original. De exemplu, oracolul utilizat în codul original s-ar putea să fi trecut la o versiune nouă, iar atunci când copiați codul, acea nouă versiune a oracolului poate să nu fie compatibilă cu versiunea veche a codului, iar vulnerabilitatea este introdusă. Deci, pentru a vă asigura că ideea și viziunea dvs. ambițioasă devin realitate prin codul dvs. DeFi, sa-l auditezi înainte de a pune în joc milioane de dolari.
Contactați QuillHash
Cu o prezență industrială de ani de zile, QuillHash a livrat soluții de întreprindere în întreaga lume. QuillHash, cu o echipă de experți, este o companie lideră în dezvoltarea blockchain-ului care oferă diverse soluții din industrie, inclusiv întreprinderea DeFi. Dacă aveți nevoie de asistență în auditul contractelor inteligente, nu ezitați să contactați experții noștri aici!
Urmăriți QuillHash pentru mai multe actualizări
Sursa: https://blog.quillhash.com/2021/08/04/why-copy-paste-in-defis-are-scarier-than-clowns/
- &
- 000
- 2019
- acces
- Avantaj
- TOATE
- Apple
- Aprilie
- în jurul
- de audit
- Miliard
- binance
- blockchain
- BNB
- Bug
- gandaci
- cazuri
- cauzată
- șansele
- cod
- Monedă
- Comun
- comunitate
- Companii
- companie
- Compus
- contract
- contracte
- cripto
- de date
- DEFI
- dezvolta
- Dezvoltator
- Dezvoltatorii
- Dezvoltare
- Dispozitive
- de dolari
- ecosistem
- Afacere
- experți
- Față
- financiar
- First
- furculiţă
- formă
- fondator
- Gratuit
- General
- bine
- hacker
- Înalt
- Cum
- Cum Pentru a
- HTTPS
- mare
- idee
- identifica
- Inclusiv
- industrie
- IT
- Locuri de munca
- cunoştinţe
- Limbă
- Ultimele
- conduce
- conducere
- învățat
- Licență
- ușoară
- Limitat
- Listă
- major
- Efectuarea
- Piață
- meme
- milion
- bani
- ştiri
- deschide
- open-source
- oracol
- Altele
- proprietar
- oameni
- perspectivă
- sărac
- Produs
- proiect
- Proiecte
- calitate
- Realitate
- motive
- cercetare
- REST
- REZULTATE
- Escrocii
- securitate
- semantică
- Servicii
- Distribuie
- Pantaloni scurți
- mic
- inteligent
- contract inteligent
- Contracte inteligente
- So
- Software
- soluţii
- Spaţiu
- petrece
- miză
- Stare
- şedere
- de succes
- surpriză
- sistem
- Tehnologia
- timp
- semn
- top
- Urmărire
- Încredere
- uniswap
- us
- utilizatorii
- valoare
- viziune
- Vulnerabilitățile
- vulnerabilitate
- cuvinte
- Apartamente
- ani
