Lưu ý của biên tập viên: Bài viết này đến từSách màu cam (ID: thànhpishu), được in lại bởi Odaily với sự cho phép.

Lưu ý của biên tập viên: Bài viết này đến từ

Sách màu cam (ID: thànhpishu)

Sách màu cam (ID: thànhpishu)

, được in lại bởi Odaily với sự cho phép.

Cách đây một thời gian, tôi đã lập một blog rất đơn giản và muốn dùng nó để viết nhật ký cá nhân. Mã được viết rất đơn giản, nguệch ngoạc và xuất bản. Một ngày sau, tôi phát hiện ra rằng phiên được lưu trữ trong cookie trên trang web không được mã hóa và giao diện người dùng có thể dễ dàng phân tích nó, nhưng tôi đã mắc một lỗi là lưu trữ thông tin nhạy cảm trong phiên.

Thế giới phần mềm có vô số cạm bẫy. Lấy trang web đơn giản nhất làm ví dụ, SQL injection, tấn công XSS, tấn công CSRF bằng cách sử dụng lại cookie của bên thứ ba, lỗ hổng tải lên hình ảnh hoặc tệp, tất cả các loại thủ thuật chết người đều được dàn dựng. Một người mới lập trang web đầu tiên của mình trên Internet, giống như một thủy thủ lái con thuyền nhỏ run rẩy lần đầu tiên ra khơi, anh ta không biết rằng có vô số bão tố, núi băng và quái vật biển phục kích trên con đường phía trước.

Chỉ là, phần lớn, những rủi ro đó là ảo tưởng. Tất nhiên, những kẽ hở trên con tàu luôn tồn tại nhưng bão tố và quái vật biển không nhất thiết phải xuất hiện. Suy cho cùng, bão tố và thủy quái cũng rất bận rộn, chúng chỉ tấn công những kẻ đáng tấn công, hoặc lật úp thuyền đánh cá chở đầy hàng trở về, hoặc cướp chở hàng hóa của các thương gia giàu có.

Do đó, không có gì ngạc nhiên khi một số người nói rằng công nghệ phần mềm không giống như "kỹ thuật cứng" khác, nếu có một sai lầm trong công trình dân dụng, các tòa nhà sẽ sụp đổ và đường sá sẽ sụp đổ, và nó sẽ trả giá bằng mạng người; mất mát; nếu phần mềm bị treo? Đưa một trang web xuống nhiều nhất là nửa ngày.

Tất nhiên, câu này thực sự sai. Phần mềm đang ăn mòn thế giới. Mã ở khắp mọi nơi trên thế giới. Các lỗ hổng trong phần mềm ngày nay không chỉ đại diện cho một trang web hoặc một ứng dụng mà còn cả các hệ thống điều khiển trên máy bay và tên lửa. Boeing đã thuê ngoài phần mềm máy bay cho một bên thứ ba rẻ hơn, điều này cuối cùng đã để lại một LỖI đẫm máu trong lịch sử hàng không vũ trụ.

Dijkstra cũng kể một câu chuyện tương tự [1] . Sau khi Apollo đáp xuống mặt trăng vào năm 1969, ông từng hỏi người phụ trách phần mềm tàu ​​vũ trụ tại sao có thể viết đúng nhiều mã như vậy, không ngờ đối phương thú nhận: chỉ 5 ngày trước khi phóng, ông đã tính toán được quỹ đạo từ mặt trăng. tàu đổ bộ. Đã tìm thấy một lỗi trong mã. Dòng mã này đã đảo ngược hướng lực hấp dẫn của mặt trăng. Những gì được cho là để thu hút, hóa ra là đẩy lùi.

Ngoài phần mềm quân sự và phần mềm hàng không, giờ đây chúng tôi còn có một lĩnh vực khác - blockchain. Tiền điện tử vốn gắn liền với tiền tệ và tài chính, khiến chúng ta một lần nữa cảm nhận được tầm quan trọng của bảo mật mã trong thế giới phần mềm.

Hôm qua là một ngày đen tối đối với giới DeFi Trung Quốc. Lendf.Me, nền tảng cho vay của dForce, đã bị tấn công và mất 25 triệu đô la tài sản. Tin tặc đã khai thác lỗ hổng kết hợp của tiêu chuẩn ERC777 và hợp đồng Lendf.Me, sử dụng các cuộc tấn công vào lại để tạo ra một loạt imBTC ngoài luồng và mượn imBTC từ nền tảng. các loại tiền tệ khác, bị cướp phá. Chỉ một ngày trước sự cố dForce, Uniswap cũng vừa bị tấn công bằng các phương pháp tương tự. Lỗ hổng của tiêu chuẩn ERC 777 đã được OpenZeppelin công bố vào tháng 6 năm 2019, nhưng nó không thu hút được sự chú ý.

Sự kiện này sẽ trở thành một nút quan trọng trong quá trình phát triển DeFi. Vụ việc vẫn đang phát triển và liệu tài sản có thể được phục hồi hay không và việc mất người dùng có thể được giảm thiểu hay không phụ thuộc vào tiến trình tiếp theo, nhưng các nhóm tiền điện tử khác nhau đã tranh cãi. Có quá nhiều bài học ở đây. Nhiều người sẽ mất niềm tin vào DeFi, nghĩ rằng DeFi là một khái niệm giả và nghi ngờ câu chuyện mà Ethereum (cũng là một chuỗi công khai lớn) đã kể về tài chính phi tập trung trong vài năm qua. Cũng có nhiều người dùng không sẵn sàng bỏ tài sản vào các sản phẩm DeFi và thích chọn các sản phẩm tài chính tập trung hơn, bởi vì "CeFi ít nhất có thể bảo vệ quyền lợi của họ nếu có sự cố xảy ra."

Những cuộc cãi vã này là bình thường. DeFi vừa là Lego, vừa là hũ mật ong Từ giờ cho đến tương lai, sẽ luôn có một nhóm nhỏ tin tặc nhòm ngó nó, cố gắng đào những đồng tiền vàng bên trong. Bất kỳ hệ thống tài chính nào cũng cần trải qua quá trình như vậy và không thể trốn thoát. Những người có thể vượt qua bài kiểm tra và tồn tại cuối cùng sẽ có cơ hội đi vào dòng chính và trở thành một cơ sở hạ tầng tài chính ổn định hơn.