Мы много лет шутим о копипасте. Помните все мемы CTRL + C и CTRL + V? Что ж, они пришли преследовать нас, потому что мы использовали их не по назначению.
В IT-индустрии копирование и вставка - это старая и распространенная форма повторного использования программного обеспечения. Большинство людей делают это, чтобы сэкономить время и силы, другие используют это, потому что не хотят тратить время на это сами, и оба в конечном итоге сталкиваются с последствиями.
Из множества недостатков наиболее заметным является дублирование ошибок и уязвимостей системы безопасности при копировании существующего кода. Вопрос о том, следует ли разрешать копирование и вставку кода, является предметом споров из-за его плюсов и минусов, но мы все можем согласиться с тем, что ошибки, вносимые немодифицированным скопированным кодом, могут привести к серьезным ситуациям. Ставки еще выше, когда дело доходит до экосистемы криптовалюты и DeFi.
DeFi - это запутанное пространство. Это бесплатно для всех не только с точки зрения доступа, но и с точки зрения внедрения технологий. Большинство протоколов и идей DeFi имеют открытый исходный код, так что любой может помочь, но из-за этого он стал палкой о двух концах. Одна сторона лагеря помогает проектам DeFi стать лучше, а другая сторона копирует проекты и код для разработки собственного решения.
Что сделало Apple успешной компанией? Стив Джобс знал, что окраска задней части забора так же важна, как окраска фасада, даже если никто другой этого не увидит. Не только качество, но и уникальность играют важную роль в создании лояльных фанатов.
Но даже помимо фактора уникальности, пространство DeFi не осознало того, что код, который они копируют, сам по себе неполный. Каждый протокол DeFi быстро развивается и исследует себя. Следовательно, каждый протокол может обнаруживать новые ошибки. Даже если код хорошо проверен, могут обнаруживаться новые ошибки, и протокол может быть защищен от таких ошибок только в том случае, если его исходная концепция реализована основной командой.
Опасности копипаста в DeFi
Особенно для пространства DeFi скопированный код может привести к огромным финансовым потерям. Кроме того, большинство копипастов имеют низкое качество из-за ограниченных знаний копирующего человека, что приводит к пустой трате времени, нежелательным изменениям и, что наиболее важно, к хакерским атакам.
Некоторое время назад индустрия DeFi была поражена новостью о том, что протокол Binance Smart Chain DeFi Блинный кролик подвергся эксплуатации из-за атаки на мгновенный кредит, в результате сообщество, как полагают, понесло убыток в 1 миллиард долларов.
Перед тем, как выбрать продукт DeFi, очень необходимо проверить качество и уникальность кода. Один взгляд профессионала в этом пространстве позволяет легко определить, скопирован код или нет.
Очень важно понимать, что копируя код, разработчики не только копируют данные, но и копируют ошибки и уязвимости. Более того, когда программисты пытаются скопировать код, может возникнуть более тонкая семантика. Неудивительно, что индустрия DeFI столкнулась с таким количеством хакерских атак, большинство из которых были успешными. С 2019 г. хакерские атаки привели к убыткам в размере около 285 миллионов долларов.
Источник: АтласVPN
Следовательно, первый усвоенный урок - «всегда проверять код». Даже если вы являетесь владельцем продукта, вы должны проверить код, разрабатываемый вашей командой.
Предупрежден - значит вооружен - если вы знаете, что ищете, вы можете снизить вероятность того, что мошенники воспользуются вашим продуктом. Одна из многих хороших черт сообщества DeFi заключается в том, что даже если вы не умеете кодировать, у проекта есть открытый код, и, если людям это интересно, сообщество обязательно проведет исследование и поделится результатами с остальными. людей.
Большинство разработчиков согласятся с тем, что копирование и вставка кодов в целом - плохая практика. Это обычное явление, потому что изменение кода или создание нового требует времени, усилий и денег.
Это не обязательно означает, что повторное использование кода - плохо. Код можно использовать повторно, и его следует повторно использовать везде, где это возможно, потому что это экономит время и усилия. Однако этот код требует профессионального аудита после внесения изменений.
Причины избегать копипаста в DeFi
Ниже упоминаются еще несколько причин, по которым следует избегать копирования в пространство DeFi:
Плохое повторное использование
У каждого кода есть свои зависимости. Даже если они являются общими, версия зависимостей, библиотек, языков и самого кода продолжает обновляться. Это означает, что даже если вы скопируете последний код, повторное использование будет плохим, независимо от того, насколько хорошо вы копируете.
Наследование уязвимостей
У медали всегда две стороны. Если вы хотите унаследовать прибыль от проекта, вам придется унаследовать и убытки. Самая распространенная проблема при копировании кода - это копирование проблем, присущих исходному коду. Хуже всего то, что скопированный код модифицируется для своей конкретной цели, и, следовательно, отслеживать ошибку становится труднее. Даже с точки зрения аудита, скопированный код с небольшими изменениями становится еще труднее проверять.
Представляем новые ошибки
Если вы копируете код, скорее всего, вам нужно немного времени для выхода на рынок, чтобы у вас не было времени на то, чтобы разбираться в коде. Любая новая модификация, которую вы делаете, с очень высокой вероятностью приведет к новой уязвимости, которую нелегко идентифицировать, поскольку она может иметь связь с существующими функциями кода.
Другими словами, изменения производятся без понимания исходного кода, что делает его более подверженным ошибкам.
Проблемы с лицензированием
Коды из проектов с открытым исходным кодом легко копировать и вставлять, но непонимание лицензионных последствий скопированного кода может быть проблемой, особенно для встроенных устройств, где встроенное программное обеспечение считается новым и уникальным.
Реальные примеры угрозы копирования и вставки
DeFi не остался равнодушным к ужасным методам копирования и вставки. Существуют проекты DeFi, которые копируют и вставляют коды смарт-контрактов Uniswap, Compound и других успешных протоколов. Что еще ужаснее в такой практике, так это то, что они часто копируют ее с ошибками, что упрощает работу злоумышленников!
Одним из самых недавних примеров такой атаки был Uranium Finance, основанный на BSC, это был форк Uniswap V2, который был использован 28 апреля 2021 года для $ 57 миллионов. Разработчик Fulcrum - Кайл Кистнер отметил, что разработчики Uranium скопировали код SushiSwap (уже клон Uniswap), они заменили число 1,000 на 10,000 везде, за исключением одного случая:
источник: Твитнуть
Другой пример опасности копирования-вставки - это BurgerSwap, взломанный 28 мая 2021 года, с предполагаемым убытком в 7.2 миллиона долларов.
«По словам основателя Uniswap Хайдена Адамса, этого можно было легко избежать».
Он также разветвлял код Uniswap, но пропустил часть: x * y = k check, он сыграл важную роль в вычислении стоимости каждого токена. Без этого злоумышленник менял местами каждую небольшую сумму, создавая фиктивный токен для тысячи BNB & BURGER.
Заключение
Копирование и вставка - это не все плохо. В определенных ситуациях они могут быть очень полезны для проекта, чтобы быстро реализовать определенный элемент, который уже был правильно построен. В других случаях это также может помочь вам сохранить статус-кво и реализовать что-то приемлемое в качестве решения.
Однако DeFi - неподходящее место для этого. Даже если вам нужно изменить всего несколько строк кода, копировать и вставлять не рекомендуется. Как специалисты по аудиту смарт-контрактов, мы видели несколько компаний, имевших добрые намерения и видения, которые терпели неудачу из-за такая практика. Основная причина - не только в уязвимостях, но и в невозможности завоевать доверие пользователей. И все пространство DeFi рождено из потребности в доверии.
Даже если вы решите использовать копипаст из-за определенных факторов и причин, тщательная проверка кода должна быть в верхней части вашего списка приоритетов. Даже если код прошел аудит, это не означает, что его копия будет защищена так же, как и исходный код. Например, оракул, использованный в исходном коде, мог перейти на новую версию, и когда вы копируете код, эта новая версия оракула может быть несовместима со старой версией кода, и возникает уязвимость. Чтобы ваша амбициозная идея и видение воплотились в жизнь с помощью кода DeFi, пройти аудит прежде чем поставить на карту миллионы долларов.
Обратитесь к QuillHash
Благодаря многолетнему присутствию в отрасли, QuillHash поставляет корпоративные решения по всему миру. QuillHash с командой экспертов является ведущей компанией по разработке блокчейнов, предоставляющей различные отраслевые решения, включая DeFi Enterprise. Если вам нужна помощь в аудите смарт-контрактов, не стесняйтесь обращаться к нашим экспертам. здесь!
Следите за QuillHash, чтобы узнать больше
Twitter | LinkedIn | что его цель
Источник: https://blog.quillhash.com/2021/08/04/why-copy-paste-in-defis-are-scarier-than-clowns/
- &
- 000
- 2019
- доступ
- плюс
- Все
- Apple
- апрель
- около
- аудит
- миллиард
- binance
- блокчейн
- НББ
- Ошибка
- ошибки
- случаев
- вызванный
- шансы
- код
- Монета
- Общий
- сообщество
- Компании
- Компания
- Соединение
- контракт
- контрактов
- крипто-
- данным
- Defi
- развивать
- Застройщик
- застройщиков
- Развитие
- Устройства
- долларов
- экосистема
- Предприятие
- эксперты
- Face
- что его цель
- финансовый
- Во-первых,
- вилка
- форма
- основатель
- Бесплатно
- Общие
- хорошо
- хакер
- High
- Как
- How To
- HTTPS
- огромный
- идея
- определения
- В том числе
- промышленность
- IT
- Джобс
- знания
- Языки
- последний
- вести
- ведущий
- узнали
- Лицензия
- легкий
- Ограниченный
- Список
- основной
- Создание
- рынок
- мемы
- миллиона
- деньги
- Новости
- открытый
- с открытым исходным кодом
- оракул
- Другое
- владелец
- Люди
- перспектива
- состояния потока
- Продукт
- Проект
- проектов
- Реальность
- причины
- исследованиям
- ОТДЫХ
- Итоги
- Мошенники
- безопасность
- семантика
- Услуги
- Поделиться
- Короткое
- небольшой
- умный
- умный контракт
- Смарт-контракты
- So
- Software
- Решения
- Space
- тратить
- доля
- Статус:
- оставаться
- успешный
- сюрприз
- система
- Технологии
- время
- знак
- топ
- Отслеживание
- Доверие
- Uniswap
- us
- пользователей
- ценностное
- видение
- Уязвимости
- уязвимость
- слова
- Работа
- лет
![Как обнаружить атаку Cryptojacking? [С профилактикой и решениями] PlatoBlockchain Data Intelligence. Вертикальный поиск. Ай.](https://platoblockchain.com/wp-content/uploads/2021/07/how-to-detect-cryptojacking-attack-with-prevention-and-solutions-300x37.jpg "Как обнаружить атаку криптоджекинга? [С профилактикой и решениями]")
