Tại sao Copy-paste trong DeFis lại đáng sợ hơn Clown?

Chúng tôi đã làm trò đùa sao chép và dán trong nhiều năm. Nhớ tất cả các meme của CTRL + C và CTRL + V? Chà, chúng đã đến ám ảnh chúng ta vì chúng ta đã sử dụng chúng sai mục đích. 

Đặc thù của ngành CNTT, sao chép và dán là một hình thức sử dụng lại phần mềm cũ và phổ biến. Hầu hết mọi người làm điều đó để tiết kiệm thời gian và công sức, một số khác lại sử dụng vì họ không muốn mất thời gian để tự mình thực hiện, cuối cùng cả hai đều phải đối mặt với hậu quả. 

Từ rất nhiều nhược điểm, nhược điểm nổi bật nhất là trùng lặp các lỗi và lỗ hổng bảo mật trên toàn hệ thống khi bạn sao chép mã hiện có. Việc sao chép và dán mã có nên được phép hay không vẫn còn gây tranh cãi do ưu và nhược điểm của nó nhưng thực tế chúng ta đều có thể đồng ý rằng các lỗi do mã được sao chép chưa sửa đổi có thể dẫn đến các tình huống nghiêm trọng. Cổ phần thậm chí còn cao hơn khi nói đến hệ sinh thái tiền điện tử và DeFi. 

DeFi là một không gian rối. Nó miễn phí cho tất cả mọi người, không chỉ về quyền truy cập mà còn về việc triển khai công nghệ. Hầu hết các giao thức và ý tưởng DeFi đều là mã nguồn mở để bất kỳ ai cũng có thể giúp đỡ nhưng do đó nó đã trở thành một con dao hai lưỡi. Một bên của trại đang giúp các dự án DeFi trở nên tốt hơn trong khi bên kia đang sao chép các dự án và mã để phát triển giải pháp của riêng họ. 

Điều gì đã khiến Apple trở thành một công ty thành công? Steve Jobs biết rằng việc sơn mặt sau của hàng rào cũng quan trọng như sơn mặt trước ngay cả khi không ai khác nhìn thấy nó. Không chỉ chất lượng mà sự độc đáo cũng đóng vai trò chính để tạo nên một lượng fan trung thành.  

Nhưng ngay cả ngoài yếu tố duy nhất, điều mà không gian DeFi không nhận ra là bản thân đoạn mã mà họ đang sao chép không hoàn chỉnh. Mọi giao thức DeFi đang phát triển nhanh chóng và tự khám phá. Do đó, mọi giao thức có thể phát hiện ra một số lỗi mới. Ngay cả khi mã được kiểm tra tốt, các lỗi mới có thể được đưa ra ánh sáng và một giao thức có thể được bảo vệ khỏi những lỗi như vậy chỉ khi nó có khái niệm ban đầu được thực hiện bởi một nhóm cốt lõi. 

Nguy cơ của việc sao chép-dán trong DeFi

Đặc biệt đối với không gian DeFi, một đoạn mã được sao chép có thể dẫn đến thiệt hại tài chính lớn. Bên cạnh đó, hầu hết các bản copy-paste đều có chất lượng kém do kiến ​​thức của người sao chép còn hạn chế, dẫn đến lãng phí thời gian, sửa đổi không mong muốn và quan trọng nhất là bị hacker tấn công. 

Một thời gian trước, ngành công nghiệp DeFi đã bị ảnh hưởng bởi tin tức rằng giao thức Binance Smart Chain DeFi Pancake Bunny đã được khai thác do một cuộc tấn công cho vay nhanh, kết quả là cộng đồng được cho là đã phải đối mặt với khoản lỗ 1 tỷ đô la. 

Trước khi chọn sản phẩm DeFi, điều rất cần thiết là phải kiểm tra chất lượng và tính duy nhất của mã. Một cái nhìn của người chuyên nghiệp trong không gian này có thể dễ dàng xác định rằng mã có được sao chép hay không. 

Điều rất quan trọng là phải hiểu rằng bằng cách sao chép mã, các nhà phát triển không chỉ sao chép dữ liệu mà còn sao chép các lỗi và lỗ hổng bảo mật. Hơn nữa, khi các lập trình viên cố gắng sao chép mã, ngữ nghĩa tinh vi hơn có thể xuất hiện. Không có gì ngạc nhiên khi ngành công nghiệp DeFI phải đối mặt với rất nhiều cuộc tấn công của hacker mà hầu hết đều thành công. Kể từ năm 2019, các cuộc tấn công của hacker đã gây ra thiệt hại khoảng 285 triệu đô la. 

nguồn: bản đồ VPN

Do đó, bài học đầu tiên rút ra là “luôn luôn kiểm tra mã”. Ngay cả khi bạn là chủ sở hữu sản phẩm, bạn phải kiểm tra mã do nhóm của bạn phát triển. 

Đã báo trước - nếu bạn biết những gì bạn đang tìm kiếm, bạn có thể giảm nguy cơ những kẻ lừa đảo lợi dụng sản phẩm của bạn. Một trong những điều tốt đẹp về cộng đồng DeFi là ngay cả khi bạn không biết cách viết mã, dự án có một mã mở xung quanh nó và nếu mọi người thấy nó thú vị, cộng đồng chắc chắn sẽ tiến hành nghiên cứu và chia sẻ kết quả với những người còn lại. của người dân. 

Hầu hết các nhà phát triển sẽ đồng ý về thực tế rằng việc sao chép và dán mã nói chung là một việc làm không tốt. Đó là điều phổ biến vì việc thay đổi mã hoặc tạo mã mới sẽ tốn thời gian, công sức và tiền bạc. 

Điều này không nhất thiết có nghĩa là việc sử dụng lại mã là không tốt. Một mã có thể được sử dụng lại và nên được sử dụng lại ở bất kỳ nơi nào thích hợp vì nó tiết kiệm thời gian và công sức. Tuy nhiên, mã này cần được đánh giá một cách chuyên nghiệp sau khi sửa đổi. 

Những lý do nên tránh sao chép-dán trong DeFi

Được đề cập bên dưới là một số lý do khác tại sao nên tránh dán sao chép trong không gian DeFi:

Tái sử dụng kém

Mỗi mã đều có các phụ thuộc riêng của nó. Ngay cả khi chúng là chung, phiên bản của các phụ thuộc, thư viện, ngôn ngữ và bản thân mã vẫn tiếp tục cập nhật. Điều này có nghĩa là, ngay cả khi bạn sao chép mã mới nhất, việc sử dụng lại sẽ kém cho dù bạn có giỏi sao chép đến đâu. 

Kế thừa các lỗ hổng

Luôn luôn có hai mặt của một đồng xu. Nếu bạn muốn thừa hưởng lợi nhuận của một dự án, bạn cũng sẽ phải kế thừa những khoản lỗ. Vấn đề phổ biến nhất của việc sao chép mã là sao chép các vấn đề vốn có trong mã gốc. Phần tồi tệ nhất là mã đã sao chép được sửa đổi cho mục đích cụ thể của nó và do đó việc theo dõi lỗi trở nên khó khăn hơn. Ngay cả từ góc độ kiểm toán, một đoạn mã được sao chép với ít sửa đổi cũng trở nên khó được kiểm toán hơn. 

Giới thiệu các lỗi mới

Nếu bạn đang sao chép một mã, rất có thể bạn muốn có một khoảng thời gian ngắn để đưa ra thị trường để bạn không có thời gian để hiểu mã trong và ngoài. Bất kỳ sửa đổi mới nào mà bạn thực hiện sẽ có khả năng rất cao dẫn đến một lỗ hổng mới mà không thể dễ dàng xác định được vì nó có thể có mối liên hệ với các chức năng mã hiện có. 

Nói cách khác, các chỉnh sửa được thực hiện mà không hiểu mã gốc khiến nó dễ bị lỗi hơn.

Các vấn đề về cấp phép

Thật dễ dàng để sao chép và dán mã từ các dự án mã nguồn mở nhưng không hiểu ý nghĩa cấp phép của mã được sao chép có thể là một vấn đề, thậm chí nhiều hơn đối với các thiết bị nhúng nơi phần mềm tích hợp được coi là mới và duy nhất.

Ví dụ trong thế giới thực về mối đe dọa sao chép-dán

DeFi không bị ảnh hưởng bởi các hoạt động sao chép dán khủng khiếp. Có các dự án DeFi sao chép và dán mã hợp đồng thông minh của Uniswap, Compound và các giao thức thành công khác. Điều khủng khiếp hơn của việc thực hành như vậy là họ thường sao chép nó với lỗi - làm cho công việc của những kẻ tấn công trở thành một miếng bánh!

Một trong những ví dụ gần đây của cuộc tấn công như vậy là 'Tài chính Uranium' dựa trên BSC, đây là một đợt fork của Uniswap V2 đã được khai thác vào ngày 28 tháng 2021 năm XNUMX cho $ 57 triệu. Nhà phát triển Fulcrum - Kyle Kistner đã chỉ ra rằng các nhà phát triển Uranium đã sao chép mã SushiSwap (đã là một bản sao của Uniswap), họ thay thế số 1,000 bằng 10,000 ở mọi nơi - ngoại trừ một trường hợp:

Nguồn: Tweet

Một ví dụ khác về nguy cơ sao chép-dán là 'BurgerSwap' - bị tấn công vào ngày 28 tháng 2021 năm 7.2 với thiệt hại ước tính là - XNUMX triệu đô la.    

“Theo người sáng lập Uniswap Hayden Adams, nó có thể dễ dàng tránh được.”

Nó cũng đã tách mã của Uniswap, nhưng bỏ sót một đoạn: x * y = k kiểm tra, nó đóng một vai trò quan trọng trong việc tính toán giá trị của mỗi mã thông báo. Nếu không có điều này, kẻ tấn công đã hoán đổi mọi số tiền nhỏ bằng cách tạo một mã thông báo giả cho hàng nghìn BNB & BURGER.    

Kết luận

Sao chép và dán không phải là tất cả xấu. Trong một số tình huống nhất định, chúng có thể rất hữu ích cho một dự án để nhanh chóng thực hiện một phần tử nhất định đã được xây dựng đúng cách. Trong các trường hợp khác, nó cũng có thể giúp bạn giữ nguyên hiện trạng và thực hiện một giải pháp nào đó có thể chấp nhận được. 

Tuy nhiên, DeFi không phải là không gian thích hợp cho nó. Ngay cả khi chỉ có một vài dòng mã bạn phải sửa đổi, bạn không nên sao chép và dán. Với tư cách là các chuyên gia trong lĩnh vực kiểm toán hợp đồng thông minh, chúng tôi đã thấy một số công ty, có ý định và tầm nhìn tốt, thất bại do những thực hành như vậy. Nguyên nhân cốt lõi không chỉ là lỗ hổng mà là do không có được sự tin tưởng của người dùng. Và toàn bộ không gian DeFi được sinh ra từ nhu cầu về sự tin cậy.

Ngay cả khi bạn quyết định sao chép vì một số yếu tố và lý do nhất định, việc kiểm tra mã kỹ lưỡng vẫn nên nằm ở đầu danh sách ưu tiên của bạn. Ngay cả khi mã đã được kiểm tra, điều đó không có nghĩa là bản sao sẽ được bảo mật như mã gốc. Ví dụ: oracle đang được sử dụng trong mã gốc có thể đã chuyển sang phiên bản mới và khi bạn sao chép mã, phiên bản mới của oracle có thể không tương thích với phiên bản cũ của mã và lỗ hổng bảo mật được đưa vào. Vì vậy, để đảm bảo rằng ý tưởng và tầm nhìn đầy tham vọng của bạn trở thành hiện thực thông qua mã DeFi của bạn, kiểm tra nó đi trước khi đặt hàng triệu đô la vào nguy cơ bị đe dọa.

Liên hệ với QuillHash

Với sự hiện diện trong ngành nhiều năm, QuillHash đã cung cấp các giải pháp doanh nghiệp trên toàn cầu. QuillHash với đội ngũ chuyên gia là công ty phát triển blockchain hàng đầu cung cấp các giải pháp ngành khác nhau bao gồm DeFi Enterprise, Nếu bạn cần bất kỳ hỗ trợ nào trong việc kiểm tra hợp đồng thông minh, vui lòng liên hệ với các chuyên gia của chúng tôi ở đây!

Theo dõi QuillHash để cập nhật thêm

Twitter | LinkedIn | Facebook

Nguồn: https://blog.quillhash.com/2021/08/04/why-copy-paste-in-defis-are-scarier-than-clown/