หมายเหตุบรรณาธิการ: บทความนี้มาจากสมุดสีส้ม (ID: chengpishu)พิมพ์ซ้ำโดย Odaily โดยได้รับอนุญาต

หมายเหตุบรรณาธิการ: บทความนี้มาจาก

สมุดสีส้ม (ID: chengpishu)

สมุดสีส้ม (ID: chengpishu)

พิมพ์ซ้ำโดย Odaily โดยได้รับอนุญาต

ก่อนหน้านี้ ฉันสร้างบล็อกง่ายๆ ขึ้นมา และอยากจะใช้มันเขียนไดอารี่ส่วนตัว โค้ดนี้เขียนอย่างเรียบง่าย ขีดเขียนและเผยแพร่ หนึ่งวันต่อมา ฉันค้นพบว่าเซสชันที่จัดเก็บไว้ในคุกกี้บนเว็บไซต์ไม่ได้เข้ารหัส และส่วนหน้าสามารถแยกวิเคราะห์ได้อย่างง่ายดาย แต่ข้อผิดพลาดที่ฉันทำคือการเก็บข้อมูลที่ละเอียดอ่อนไว้ในเซสชัน

โลกของซอฟต์แวร์มีข้อผิดพลาดนับไม่ถ้วน ยกตัวอย่างเว็บไซต์ที่ง่ายที่สุด เช่น การแทรก SQL, การโจมตี XSS, การโจมตี CSRF โดยใช้คุกกี้ของบุคคลที่สามซ้ำ, ช่องโหว่ในการอัปโหลดรูปภาพหรือไฟล์, กลอุบายร้ายแรงทุกประเภทมีการจัดฉาก สามเณรตั้งค่าเว็บไซต์แรกของเขาบนอินเทอร์เน็ต เช่นเดียวกับกะลาสีเรือใบเล็กที่สั่นสะเทือนเป็นครั้งแรกที่ออกทะเล เขาไม่รู้ว่ามีพายุนับไม่ถ้วน ภูเขาน้ำแข็ง และสัตว์ประหลาดในทะเลซุ่มโจมตีอยู่บนถนนข้างหน้า

เป็นเพียงว่าส่วนใหญ่แล้วความเสี่ยงเหล่านั้นเป็นเพียงภาพลวงตา แน่นอนว่าช่องโหว่บนเรือมีอยู่เสมอ แต่พายุและสัตว์ประหลาดในทะเลไม่จำเป็นต้องปรากฏขึ้น ท้ายที่สุด พายุและสัตว์ร้ายในทะเลก็ยุ่งมากเช่นกันพวกมันโจมตีเฉพาะผู้ที่ควรค่าแก่การโจมตีเท่านั้นไม่ว่าจะคว่ำเรือประมงที่บรรทุกเต็มเรือหรือปล้นสินค้าของพ่อค้าผู้มั่งคั่ง

ดังนั้นจึงไม่น่าแปลกใจที่บางคนกล่าวว่าวิศวกรรมซอฟต์แวร์ไม่เหมือน "วิศวกรรมหนัก" อื่น ๆ หากเกิดความผิดพลาดในงานวิศวกรรมโยธา อาคารจะพัง ถนนจะพัง และจะทำให้มนุษย์เสียชีวิต สูญเสีย ถ้า ซอฟต์แวร์ค้าง? พักเว็บไซต์นานสุดครึ่งวัน

แน่นอนว่าประโยคนี้ผิดจริงๆ ซอฟต์แวร์กำลังกัดกินโลก รหัสมีอยู่ทุกที่ในโลก ช่องโหว่ในซอฟต์แวร์ปัจจุบันไม่ได้หมายถึงเว็บไซต์หรือแอปเท่านั้น แต่ยังรวมถึงระบบควบคุมบนเครื่องบินและจรวดด้วย Boeing จ้างซอฟต์แวร์ของสายการบินจากภายนอกให้กับบุคคลที่สามที่ถูกกว่า ซึ่งท้ายที่สุดก็ทิ้ง BUG ที่นองเลือดไว้ในประวัติศาสตร์การบินและอวกาศ

Dijkstra ยังเล่าเรื่องที่คล้ายกัน [1] หลังจากอพอลโลลงจอดบนดวงจันทร์ในปี 1969 ครั้งหนึ่งเขาเคยถามผู้รับผิดชอบซอฟต์แวร์ยานอวกาศว่าทำไมคุณถึงเขียนโค้ดได้ถูกต้องมากมาย อีกฝ่ายสารภาพ โดยไม่คาดคิด: เพียงห้าวันก่อนการปล่อยเขาคำนวณวงโคจรจากดวงจันทร์ ลงจอด พบข้อผิดพลาดในรหัส รหัสบรรทัดนี้กลับทิศทางของแรงโน้มถ่วงของดวงจันทร์ สิ่งที่ควรจะดึงดูดกลับกลายเป็นสิ่งที่น่ารังเกียจ

นอกจากซอฟต์แวร์ทางทหารและซอฟต์แวร์การบินแล้ว ตอนนี้เรายังมีอีกสาขาหนึ่งคือบล็อกเชน Crypto ซึ่งเชื่อมโยงกับสกุลเงินและการเงินโดยเนื้อแท้ ทำให้เรารู้สึกอีกครั้งว่าความปลอดภัยของรหัสมีความสำคัญเพียงใดในโลกของซอฟต์แวร์

เมื่อวานเป็นวันที่มืดมนสำหรับวง DeFi ของจีน Lendf.Me ซึ่งเป็นแพลตฟอร์มการให้ยืมของ dForce ถูกแฮ็กและสูญเสียทรัพย์สินไป 25 ล้านดอลลาร์ แฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่ที่รวมกันของมาตรฐาน ERC777 และสัญญา Lendf.Me ใช้การโจมตีแบบย้อนกลับเพื่อสร้าง imBTC จำนวนมากจากอากาศบาง ๆ และยืม imBTC จากแพลตฟอร์ม สกุลเงินอื่น ๆ ถูกปล้น เพียงหนึ่งวันก่อนเหตุการณ์ dForce Uniswap เพิ่งถูกโจมตีด้วยเทคนิคที่คล้ายกัน ช่องโหว่ของมาตรฐาน ERC 777 ได้รับการประกาศโดย OpenZeppelin ในเดือนมิถุนายน 2019 แต่ก็ไม่ได้ดึงดูดความสนใจ

เหตุการณ์นี้จะกลายเป็นโหนดสำคัญในการพัฒนา DeFi เหตุการณ์นี้ยังคงพัฒนาอยู่ และจะสามารถกู้คืนสินทรัพย์ได้หรือไม่ และการสูญเสียผู้ใช้จะลดลงได้หรือไม่นั้นขึ้นอยู่กับความคืบหน้าในการติดตาม แต่กลุ่มคริปโตต่าง ๆ กำลังโต้เถียงกันอยู่ มีบทเรียนมากเกินไปที่นี่ หลายคนจะสูญเสียความมั่นใจใน DeFi คิดว่า DeFi เป็นแนวคิดหลอก และสงสัยในเรื่องราวที่ Ethereum (เช่น เครือข่ายสาธารณะรายใหญ่) ได้บอกเล่าเกี่ยวกับการเงินแบบกระจายอำนาจในช่วงไม่กี่ปีที่ผ่านมา นอกจากนี้ยังมีผู้ใช้จำนวนมากที่ไม่เต็มใจที่จะใส่สินทรัพย์ลงในผลิตภัณฑ์ DeFi และต้องการเลือกผลิตภัณฑ์ทางการเงินแบบรวมศูนย์ เพราะ "อย่างน้อย CeFi ก็สามารถปกป้องสิทธิ์ของพวกเขาได้หากมีสิ่งผิดปกติเกิดขึ้น"

การทะเลาะกันเหล่านี้เป็นเรื่องปกติ DeFi เป็นทั้งเลโก้และหม้อน้ำผึ้ง จากนี้ไปอนาคต จะมีแฮ็กเกอร์กลุ่มเล็กๆ คอยจ้องดู และพยายามขุดเหรียญทองที่อยู่ข้างใน ระบบการเงินใด ๆ ต้องผ่านกระบวนการดังกล่าวและไม่สามารถหลบหนีได้ ผู้ที่สามารถผ่านการทดสอบและอยู่รอดได้ในที่สุดจะมีโอกาสไปสู่กระแสหลักและเป็นโครงสร้างพื้นฐานทางการเงินที่มั่นคงยิ่งขึ้น