私たちは何年もの間、コピー&ペーストのジョークを作っています。 CTRL + CとCTRL + Vのすべてのミームを覚えていますか? まあ、私たちが間違った目的でそれらを使用しているので、彼らは私たちを悩ませるようになりました。
IT業界に固有の、コピーと貼り付けは、ソフトウェアを再利用するための古くて一般的な形式です。 ほとんどの人は時間と労力を節約するためにそれを行いますが、他の人は自分でそれを行うのに時間を費やしたくないのでそれを使用します、両方とも最終的に結果に直面します。
多数の欠点から、最も顕著なものは、既存のコードをコピーするときにシステム全体にバグとセキュリティの脆弱性を複製することです。 コードのコピーと貼り付けを許可するかどうかは、その長所と短所のために議論の余地がありますが、変更されていないコピーされたコードによって導入されたエラーは深刻な状況につながる可能性があるという事実に同意できます。 暗号通貨とDeFiエコシステムに関しては、さらに大きなリスクがあります。
DeFiは絡み合った空間です。 アクセスだけでなく、テクノロジーの実装に関しても、すべての人が無料で利用できます。 DeFiプロトコルとアイデアのほとんどはオープンソースであるため、誰でも手伝うことができますが、これにより、両刃の剣になりました。 キャンプの一方はDeFiプロジェクトの改善を支援し、もう一方はプロジェクトとコードをコピーして独自のソリューションを開発しています。
アップルを成功させた理由は何ですか? スティーブ・ジョブズは、誰も見ない場合でも、柵の裏側を塗装することは、前面を塗装することと同じくらい重要であることを知っていました。 品質だけでなく、独自性も熱心なファン層を作る上で大きな役割を果たしています。
しかし、一意性の要素を超えても、DeFiスペースが認識できなかったのは、コピーしているコード自体が完全ではないということです。 すべてのDeFiプロトコルは急速に進化し、それ自体を探求しています。 したがって、そこにあるすべてのプロトコルは、いくつかの新しいバグを発見する可能性があります。 コードが十分に監査されている場合でも、コアチームによって実装された元の概念がある場合にのみ、新しいバグが明らかになり、そのようなバグからプロトコルを保護できます。
DeFiでのコピーアンドペーストの危険性
特にDeFiスペースの場合、コピーされたコードは莫大な経済的損失につながる可能性があります。 それに加えて、ほとんどのコピー&ペーストは、コピーする人の知識が限られているために品質が低く、時間の浪費、不要な変更、そして最も重要なことに、ハッカーの攻撃につながります。
少し前に、DeFi業界はBinance Smart ChainDeFiプロトコルというニュースに見舞われました パンケーキバニーが悪用されました その結果、フラッシュローン攻撃により、コミュニティは1億ドルの損失に直面したと考えられていました。
DeFi製品を選択する前に、コードの品質と一意性を確認する必要があります。 この分野の専門家が一目見れば、コードがコピーされているかどうかを簡単に識別できます。
コードをコピーすることにより、開発者はデータをコピーするだけでなく、バグや脆弱性もコピーすることを理解することが非常に重要です。 さらに、プログラマーがコードをコピーしようとすると、より微妙なセマンティクスが出現する可能性があります。 DeFI業界が非常に多くのハッカー攻撃に直面し、そのほとんどが成功したのは当然のことです。 2019年以降、 ハッカーの攻撃により、約285億XNUMX万ドルの損失が発生しました。
情報源: アトラス VPN
したがって、最初に学んだ教訓は、「常にコードをチェックする」ことです。 製品の所有者であっても、チームが開発しているコードを確認する必要があります。
事前に警告されています-あなたが探しているものを知っているなら、あなたはあなたの製品を利用する詐欺師の可能性を減らすことができます。 DeFiコミュニティの多くの良い点のXNUMXつは、コーディング方法がわからなくても、プロジェクトの周りにオープンコードがあり、人々がそれを面白いと思った場合、コミュニティは確実に調査を行い、結果を他の人と共有することです。人々の。
ほとんどの開発者は、コードのコピーと貼り付けは一般的に悪い習慣であるという事実に同意するでしょう。 コードを変更したり、新しいコードを作成したりするには、時間、労力、およびお金がかかるため、これは一般的なことです。
これは必ずしもコードの再利用が悪いことを意味するわけではありません。 コードは再利用でき、時間と労力を節約できるため、適切な場所で再利用する必要があります。 ただし、このコードは、変更後に専門的な方法で監査する必要があります。
DeFiでコピーアンドペーストを避ける理由
DeFiスペースでコピー貼り付けを避ける必要がある理由は次のとおりです。
貧弱な再利用
すべてのコードには独自の依存関係があります。 それらが一般的であっても、依存関係、ライブラリ、言語、およびコード自体のバージョンは更新され続けます。 つまり、最新のコードをコピーしたとしても、コピーがどれほど上手くても、再利用は不十分になります。
脆弱性の継承
コインには常にXNUMXつの側面があります。 プロジェクトの利益を継承したい場合は、損失も継承する必要があります。 コードをコピーする際の最も一般的な問題は、元のコードに固有の問題をコピーすることです。 最悪の部分は、コピーされたコードが特定の目的のために変更されるため、バグの追跡がより困難になることです。 監査の観点からも、ほとんど変更を加えずにコピーされたコードは、監査がさらに困難になります。
新しいエラーの紹介
コードをコピーしている場合は、市場に出回る時間を短くして、コードの内外を理解する時間がない可能性があります。 新しい変更を行うと、既存のコード機能と関連している可能性があるため、簡単に特定できない新しい脆弱性が発生する可能性が非常に高くなります。
つまり、元のコードを理解せずに編集が行われるため、エラーが発生しやすくなります。
ライセンスの問題
オープンソースプロジェクトからコードをコピーして貼り付けるのは簡単ですが、コピーされたコードのライセンスへの影響を理解していないと、問題になる可能性があります。オンボードソフトウェアが新しくてユニークであると見なされる組み込みデバイスの場合はなおさらです。
コピー&ペーストの脅威の実際の例
DeFiは、コピー&ペーストのひどい慣行に影響されないままではありません。 Uniswap、Compound、およびその他の成功したプロトコルのスマートコントラクトコードをコピーして貼り付けるDeFiプロジェクトがあります。 そのような慣行のさらにひどいのは、彼らがしばしばそれをエラーでコピーすることです–攻撃者の仕事を簡単なものにします!
このような攻撃のごく最近の例の2つは、BSCベースの「UraniumFinance」でした。これは、28年2021月XNUMX日に悪用されたUniswapVXNUMXフォークでした。 57万ドル。 Fulcrum開発者– Kyle Kistnerは、Uranium開発者がSushiSwap(すでにUniswapクローン)コードをコピーしたことを指摘しました。1,000つの場合を除いて、どこでも10,000からXNUMXに置き換えました。
ソース: ツイートする
コピーアンドペーストの危険性のもう28つの例は、2021年7.2月XNUMX日にハッキングされた「BurgerSwap」で、推定損失はXNUMX万ドルです。
「Uniswapの創設者であるHaydenAdamsによると、それは簡単に回避できたはずです。」
また、Uniswapのコードをフォークしましたが、x * y = kチェックを見逃し、各トークンの値を計算する上で重要な役割を果たしました。 これがないと、攻撃者は次のダミートークンを作成して、少量ごとにスワップします。 何千ものBNB&BURGER.
まとめ
コピーアンドペーストはすべて悪いわけではありません。 特定の状況では、プロジェクトがすでに適切に構築されている特定の要素をすばやく実装するのに非常に役立ちます。 また、現状を維持し、解決策として受け入れられるものを実装するのに役立つ場合もあります。
ただし、DeFiはそれに適したスペースではありません。 変更する必要のあるコードが数行しかない場合でも、コピーして貼り付けることはお勧めしません。 スマートコントラクト監査のスペシャリストとして、善意とビジョンを持っているいくつかの企業が次の理由で失敗するのを見てきました そのような慣行。 主な理由は、脆弱性だけでなく、ユーザーの信頼を得ることができないことです。 そして、DeFiスペース全体は、信頼の必要性から生まれています。
特定の要因と正当性のためにコピーアンドペーストを行うことにした場合でも、コードを徹底的に監査することを優先リストの最上位に置く必要があります。 コードが監査されたとしても、コピーが元のコードと同じくらい安全であるという意味ではありません。 たとえば、元のコードで使用されていたオラクルが新しいバージョンに移行した可能性があり、コードをコピーすると、その新しいバージョンのオラクルは古いバージョンのコードと互換性がなく、脆弱性が発生します。 したがって、意欲的なアイデアとビジョンがDeFiコードを通じて実現されるようにするには、 監査を受ける 数百万ドルを危険にさらす前に。
QuillHashに連絡する
何年にもわたる業界での存在感により、 クイルハッシュ 世界中にエンタープライズソリューションを提供してきました。 専門家のチームを持つQuillHashは、DeFiエンタープライズを含むさまざまな業界ソリューションを提供する大手ブロックチェーン開発会社です。スマートコントラクト監査で支援が必要な場合は、専門家に連絡してください。 ここで!
その他の更新については、QuillHashをフォローしてください
出典:https://blog.quillhash.com/2021/08/04/why-copy-paste-in-defis-are-scarier-than-clowns/
- &
- 000
- 2019
- アクセス
- 利点
- すべて
- Apple
- 4月
- 周りに
- 監査
- 10億
- ビンランス
- ブロックチェーン
- BNB
- バグ
- バグ
- 例
- 生じました
- チャンス
- コード
- コイン
- コマンドと
- コミュニティ
- 企業
- 会社
- 縮小することはできません。
- 契約
- クリプト
- データ
- DeFi
- 開発する
- Developer
- 開発者
- 開発
- Devices
- ドル
- エコシステム
- Enterprise
- 専門家
- 顔
- ファイナンシャル
- 名
- フォーク
- フォーム
- AIとMoku
- 無料版
- 良い
- ハッカー
- ハイ
- 認定条件
- How To
- HTTPS
- 巨大な
- アイデア
- 識別する
- 含めて
- 産業を変えます
- IT
- Jobs > Create New Job
- 知識
- ESL, ビジネスESL <br> 中国語/フランス語、その他
- 最新の
- つながる
- 主要な
- 学んだ
- ライセンス
- 光
- 限定的
- リスト
- 主要な
- 作成
- 市場
- ミーム
- 百万
- お金
- ニュース
- 開いた
- オープンソース
- オラクル
- その他
- 所有者
- のワークプ
- 視点
- 貧しいです
- プロダクト
- プロジェクト
- プロジェクト(実績作品)
- 品質
- 現実
- 理由は
- 研究
- REST
- 結果
- 詐欺師
- セキュリティ
- 意味論
- サービス
- シェアする
- ショート
- 小さい
- スマート
- スマート契約
- スマート契約
- So
- ソフトウェア
- ソリューション
- スペース
- 過ごす
- 利害関係
- Status:
- 滞在
- 成功した
- 驚き
- テクノロジー
- 時間
- トークン
- top
- 追跡
- 信頼
- Uniswap
- us
- users
- 値
- ビジョン
- 脆弱性
- 脆弱性
- 言葉
- 仕事
- 年