Beritau Digital Media
Beritau Digital Media

Strategi rahasia PayPal untuk keamanan kontak cerdas terungkap

Beritau August 9, 2023
0 Comments

Trust – peretas topi putih dan kepala firma audit kontrak pintar Trust Security – menyoroti fitur unik kontrak pintar yang mendukung stablecoin baru PayPal, PYUSD.

Dalam tweet baru-baru ini, Trust melaporkan bahwa mereka “melihat banyak dunking di PayPal karena menggunakan kompiler Solidity kuno.”

Seperti diberitakan dalam artikel terbaru, analisis kontrak pintar mengungkapkan bahwa perusahaan menggunakan kompiler Solidity versi 0.4.24.

Mengingat Solidity versi 0.4.24 dirilis pada 16 Mei 2018, hal ini menunjukkan bahwa versi yang dipilih PayPal memang kuno. Meski begitu, ini belum tentu berarti buruk.

Trust menunjukkan bahwa ketika memilih versi kompiler Solidity, seorang programmer ingin memilih versi terbaru yang menjamin penggunaan bahan bakar lebih sedikit dan lebih banyak fitur. Sebaliknya, versi lama telah diuji untuk jangka waktu yang lebih lama dan memiliki lebih sedikit fitur yang tidak diketahui.

Dengan kata lain, kompiler lama cenderung tidak menunjukkan kerentanan yang tidak diketahui. Dia menyimpulkan bahwa seseorang mungkin ingin menggunakan versi yang lebih lama “karena telah teruji oleh waktu.”

Selain itu, kepercayaan tersebut juga mencatat bahwa token PayPal didukung oleh satu kontrak pintar mikro dan perpustakaan SafeMath. Sistem dengan kompleksitas yang dangkal ini tidak memerlukan fitur-fitur baru, tujuannya adalah untuk memiliki “kode yang sangat kuat untuk digunakan selama 10+ tahun ke depan, bukan untuk melakukan sesuatu yang terlalu mewah.”

Trust juga menjelaskan, “Semakin sederhana basis kode dan semakin sedikit integrasi dengan kode eksternal, semakin cepat Anda dapat menyetel versi kompiler dan menghindarinya.”

Selain itu, hal ini juga sejalan dengan prinsip keamanan siber yaitu mengurangi permukaan serangan – dimana pemrogram ingin membuat sistem sesederhana dan semudah mungkin untuk mengurangi kompleksitas yang tidak perlu dan kemungkinan kerentanan yang tersembunyi di perpustakaan.

Trust lebih lanjut menjelaskan bahwa “kontrak pintar yang tidak dapat diubah secara inheren berbeda dari perangkat lunak tradisional” karena tidak ada “hari patch berkala atau rilis darurat.” Satu-satunya pendekatan yang layak adalah “berharap bahwa semua komponen basis kode aman pada titik waktu tertentu,” dan pengembang PayPal “sekarang dapat mengandalkan pengujian kompiler selama lima tahun.”

Ikuti kami di Google Berita

Categories: News
Tags: , , ,

Related Articles

Responses

Your email address will not be published. Required fields are marked *