Že leta zbijamo copy-paste šale. Se spomnite vseh memov CTRL + C in CTRL + V? No, začeli so nas preganjati, ker smo jih uporabljali za napačne namene.
Kopiranje in lepljenje sta v industriji IT stara in običajna oblika ponovne uporabe programske opreme. Večina ljudi to počne, da bi prihranili čas in trud, drugi to uporabljajo, ker sami ne želijo porabiti časa za to, oboji pa se sčasoma soočijo s posledicami.
Med številnimi pomanjkljivostmi je najpomembnejša podvajanje hroščev in varnostnih ranljivosti v celotnem sistemu, ko kopirate obstoječo kodo. O tem, ali naj bo praksa kopiranja in lepljenja kode dovoljena ali ne, je sporno zaradi njenih prednosti in slabosti, toda dejstvo, s katerim se lahko vsi strinjamo, je, da lahko napake, ki jih povzroči nespremenjena kopirana koda, povzročijo resne situacije. Vložki so še večji, ko gre za kripto in DeFi ekosistem.
DeFi je zapleten prostor. Brezplačen je za vse, ne le v smislu dostopa, ampak tudi v smislu implementacije tehnologije. Večina protokolov in idej DeFi je odprtokodnih, tako da lahko vsakdo pomaga, vendar je zaradi tega postal dvorezen meč. Ena stran tabora pomaga projektom DeFi postati boljši, medtem ko druga stran kopira projekte in kodo za razvoj lastne rešitve.
Kaj je Apple naredilo uspešno podjetje? Steve Jobs je vedel, da je barvanje zadnje strani ograje enako pomembno kot barvanje sprednje, tudi če tega nihče drug ne bo videl. Ne le kakovost, ampak tudi edinstvenost igra pomembno vlogo pri ustvarjanju baze zvestih oboževalcev.
Toda tudi poleg dejavnika edinstvenosti prostor DeFi ni spoznal, da koda, ki jo kopirajo, sama ni popolna. Vsak protokol DeFi se hitro razvija in raziskuje samega sebe. Zato lahko vsak protokol odkrije nekaj novih napak. Tudi če je koda dobro revidirana, se lahko pojavijo novi hrošči in protokol je mogoče zaščititi pred takšnimi hrošči le, če ima izvirni koncept, ki ga izvaja ožja ekipa.
Nevarnosti kopiranja in lepljenja v DeFi
Zlasti za prostor DeFi lahko kopirana koda povzroči velike finančne izgube. Poleg tega je večina copy-paste slabe kakovosti zaradi omejenega znanja osebe, ki kopira, kar vodi v izgubo časa, neželene spremembe in, kar je najpomembneje, hekerske napade.
Pred časom je industrijo DeFi prizadela novica, da je protokol Binance Smart Chain DeFi Pancake Bunny je bil izkoriščen z napadom hitrega posojila, se je posledično domnevalo, da se je skupnost soočila z izgubo v višini 1 milijarde dolarjev.
Preden izberete izdelek DeFi, je zelo pomembno, da preverite kakovost in edinstvenost kode. En pogled strokovnjaka v tem prostoru lahko zlahka ugotovi, ali je koda kopirana ali ne.
Zelo pomembno je razumeti, da s kopiranjem kode razvijalci ne samo kopirajo podatke, temveč kopirajo tudi hrošče in ranljivosti. Še več, ko programerji poskušajo kopirati kodo, se lahko pojavi subtilnejša semantika. Ni presenetljivo, da se je industrija DeFI soočila s toliko hekerskimi napadi, ki so bili večinoma uspešni. Od leta 2019, hekerski napadi so povzročili izgubo v višini okoli 285 milijonov dolarjev.
vir: AtlasVPN
Zato je prva naučena lekcija "vedno preveriti kodo". Tudi če ste lastnik izdelka, morate preveriti kodo, ki jo razvija vaša ekipa.
Vnaprej opozorjeno je vnaprej oboroženo – če veste, kaj iščete, lahko zmanjšate možnosti, da bi prevaranti izkoristili vaš izdelek. Ena od mnogih dobrih stvari skupnosti DeFi je, da ima projekt odprto kodo, tudi če ne znate kodirati, in če se ljudem zdi zanimiv, bo skupnost zagotovo izvedla raziskavo in delila rezultate z ostalimi od ljudi.
Večina razvijalcev bi se strinjala z dejstvom, da je kopiranje in lepljenje kod na splošno slaba praksa. To je običajno, ker spreminjanje kode ali ustvarjanje nove zahteva čas, trud in denar.
To ne pomeni nujno, da je ponovna uporaba kode slaba. Kodo je mogoče ponovno uporabiti in jo je treba znova uporabiti, kadar koli je to primerno, saj prihrani čas in trud. Vendar je treba to kodo po spremembah strokovno revidirati.
Razlogi za izogibanje kopiranju in lepljenju v DeFi
Spodaj je omenjenih še nekaj razlogov, zakaj se je treba izogibati kopiranju v prostoru DeFi:
Slaba ponovna uporaba
Vsaka koda ima svoje odvisnosti. Tudi če so generične, se različica odvisnosti, knjižnic, jezikov in same kode nenehno posodablja. To pomeni, da bo ponovna uporaba slaba, tudi če kopirate najnovejšo kodo, ne glede na to, kako dobri ste pri kopiranju.
Dedovanje ranljivosti
Kovanec ima vedno dve plati. Če želite podedovati dobiček projekta, boste morali podedovati tudi izgube. Najpogostejša težava pri kopiranju kode je kopiranje težav, ki so del izvirne kode. Najslabše je, da je kopirana koda spremenjena za svoj namen in zato postane izsleditev hrošča težje. Tudi z revizijskega vidika postane kopirano kodo z majhnimi spremembami še težje revidirati.
Uvajanje novih napak
Če kopirate kodo, obstaja velika verjetnost, da želite kratek prehod na trg, tako da ne boste imeli časa za razumevanje kode. Vsaka nova sprememba, ki jo naredite, bo zelo verjetno vodila do nove ranljivosti, ki je ni mogoče enostavno prepoznati, saj je lahko povezana z obstoječimi funkcionalnostmi kode.
Z drugimi besedami, urejanja so narejena brez razumevanja izvirne kode, zaradi česar je bolj nagnjena k napakam.
Težave z licenciranjem
Preprosto je kopirati in prilepiti kode iz odprtokodnih projektov, vendar je lahko težava nerazumevanje licencnih posledic kopirane kode, še več za vdelane naprave, kjer se vgrajena programska oprema šteje za novo in edinstveno.
Primeri grožnje copy-paste iz resničnega sveta
DeFi ni ostal nedotaknjen zaradi grozljivih praks kopiranja in lepljenja. Obstajajo projekti DeFi, ki kopirajo in prilepijo kode pametnih pogodb Uniswap, Compound in drugih uspešnih protokolov. Še bolj grozno pri takšni praksi je to, da jo pogosto kopirajo z napakami – s čimer je delo napadalcev kos!
Eden od zelo nedavnih primerov takšnega napada je bil "Uranium Finance", ki temelji na BSC, to je bila vilica Uniswap V2, ki je bila 28. aprila 2021 izkoriščena za $ 57 milijonov. Razvijalec Fulcrum – Kyle Kistner je poudaril, da so razvijalci Uraniuma kopirali kodo SushiSwap (ki je že klon Uniswap), povsod so zamenjali številko 1,000 z 10,000 – razen v enem primeru:
vir: Tvitnite
Še en primer nevarnosti kopiranja in lepljenja je »BurgerSwap« – vdrl 28. maja 2021 z ocenjeno izgubo – 7.2 milijona $.
"Po mnenju ustanovitelja Uniswapa Haydena Adamsa bi se temu zlahka izognili."
Prav tako je razcepil kodo Uniswap, vendar je zgrešil del: x*y = k preverite, igral je pomembno vlogo pri izračunu vrednosti vsakega žetona. Brez tega je napadalec vsak najmanjši znesek zamenjal tako, da je ustvaril navidezni žeton za na tisoče BNB & BURGERJEV.
zaključek
Kopiraj in prilepi ni vse slabo. V določenih situacijah so lahko za projekt zelo koristni za hitro izvedbo določenega elementa, ki je že pravilno zgrajen. V drugih primerih vam lahko tudi pomaga ostati pri statusu quo in uvesti nekaj, kar je sprejemljivo kot rešitev.
Vendar DeFi ni pravi prostor za to. Tudi če je le nekaj vrstic kod, ki jih morate spremeniti, kopiranje in lepljenje ni priporočljivo. Kot strokovnjaki za revizije pametnih pogodb smo videli več podjetij z dobrimi nameni in vizijo, ki so propadla zaradi takšne prakse. Glavni razlog niso le ranljivosti, ampak nezmožnost pridobitve zaupanja uporabnikov. In ves prostor DeFi je rojen iz potrebe po zaupanju.
Tudi če se odločite za kopiranje in lepljenje zaradi določenih dejavnikov in utemeljitev, mora biti na vrhu vašega prednostnega seznama pridobitev temeljite revizije kode. Tudi če je bila koda revidirana, to ne pomeni, da bo kopija enako varna kot izvirna koda. Na primer, orakelj, ki je bil uporabljen v izvirni kodi, se je morda premaknil na novo različico in ko kopirate kodo, ta nova različica oraklja morda ni združljiva s staro različico kode in pojavi se ranljivost. Da bi zagotovili, da vaša ambiciozna ideja in vizija postaneta resničnost prek vaše kode DeFi, dajte ga v revizijo preden stavite na kocko milijone dolarjev.
Obrnite se na QuillHash
Z dolgoletno prisotnostjo v industriji, QuillHash je rešitve za podjetja predstavil po vsem svetu. QuillHash z ekipo strokovnjakov je vodilno podjetje za razvoj verig blokov, ki ponuja različne industrijske rešitve, vključno s podjetjem DeFi. Če potrebujete kakršno koli pomoč pri reviziji pametnih pogodb, se obrnite na naše strokovnjake tukaj!
Sledite QuillHash za več posodobitev
Vir: https://blog.quillhash.com/2021/08/04/why-copy-paste-in-defis-are-scarier-than-clowns/
- &
- 000
- 2019
- dostop
- Prednost
- vsi
- Apple
- april
- okoli
- Revizija
- Billion
- binance
- blockchain
- bnb
- Bug
- hrošči
- primeri
- povzročilo
- kvote
- Koda
- Coin
- Skupno
- skupnost
- Podjetja
- podjetje
- Sestavljeni
- Naročilo
- pogodbe
- kripto
- datum
- Defi
- Razvoj
- Razvojni
- Razvijalci
- Razvoj
- naprave
- dolarjev
- ekosistem
- Podjetje
- Strokovnjaki
- Obraz
- finančna
- prva
- vilice
- obrazec
- Ustanovitelj
- brezplačno
- splošno
- dobro
- heker
- visoka
- Kako
- Kako
- HTTPS
- velika
- Ideja
- identificirati
- Vključno
- Industrija
- IT
- Delovna mesta
- znanje
- jeziki
- Zadnji
- vodi
- vodi
- naučili
- Licenca
- light
- Limited
- Seznam
- velika
- Izdelava
- Tržna
- memes
- milijonov
- Denar
- novice
- odprite
- open source
- Oracle
- Ostalo
- Lastnik
- ljudje
- perspektiva
- slaba
- Izdelek
- Projekt
- projekti
- kakovost
- Reality
- Razlogi
- Raziskave
- REST
- Rezultati
- Scammers
- varnost
- semantika
- Storitve
- Delite s prijatelji, znanci, družino in partnerji :-)
- Kratke Hlače
- majhna
- pametna
- pametna pogodba
- Pametne pogodbe
- So
- Software
- rešitve
- Vesolje
- preživeti
- delež
- Status
- bivanje
- uspešno
- presenečenje
- sistem
- Tehnologija
- čas
- žeton
- vrh
- Sledenje
- Zaupajte
- Odklopite
- us
- Uporabniki
- vrednost
- Vizija
- Ranljivosti
- ranljivost
- besede
- delo
- let
