top of page
Forfatters billedeThomas Pedersen

PayPal kritiseret for at bruge forældet solidity compiler, til smart contract sikkerhed


PayPals tilgang til smart kontraktsikkerhed er blevet kortlagt af Trust Security, en white hat hacker og leder af et smart kontrakt revisionsfirma.


PayPal, Trust, Solidity compiler, Blockchain, Smart Contracts, Trust Security, Finans, Fin-tech, IT-sikkerhed

Trust Security kastede lys over et specifikt træk ved den smarte kontrakt, der driver PayPals nye stablecoin PYUSD. Analysen afslørede, at PayPal havde brugt en ældre version af Solidity-kompileren (version 0.4.24) til at bygge deres smarte kontrakt. Selvom denne version blev udgivet i 2018, forklarede Trust Security, at brug af ældre compilerversioner kan føre til større sikkerhed, da de er blevet testet grundigt og er mindre tilbøjelige til at have ukendte sårbarheder.


Desuden fremhævede Trust, at PayPals tilgang til smart kontraktdesign involverede at bruge en enkelt kort smart kontrakt og SafeMath-biblioteket til at skabe en "ultra-robust kode", der skulle bruges i mange år uden at inkorporere komplekse funktioner. Denne tilgang er i overensstemmelse med princippet om angrebsoverfladereduktion i cybersikkerhed, som fokuserer på at minimere unødvendig kompleksitet for at reducere risikoen for sårbarheder.


Trust understregede også forskellene mellem uforanderlige smarte kontrakter og traditionel software, idet den sagde, at smarte kontrakter ikke har periodiske patchopdateringer som traditionel software. At stole på ældre, gennemtestede compilerversioner kan derfor give en højere grad af sikkerhed med hensyn til sikkerhed.


Denne strategi fra PayPal understreger vigtigheden af ​​omhyggeligt at udvælge compilerversioner og anvende en forsigtig tilgang, når det kommer til smart kontraktudvikling, især i forbindelse med finansielle produkter som stablecoins.


Forenklet token implementering


Trust bemærkede også, at PayPals token er afhængig af en kortfattet enkelt smart kontrakt og SafeMath-biblioteket til driften. Designet af dette strømlinede system undgår behovet for yderligere funktionaliteter. Det primære mål er at skabe en "meget robust kode beregnet til vedvarende brug over det næste årti eller mere, snarere end at hengive sig til alt for indviklede operationer."


"uforanderlige smart contracts adskiller sig fundamentalt fra konventionel software" - Trust

For at uddybe yderligere, præciserede Trust, "Ved at holde kodebasen ukompliceret og minimere eksterne kodeintegrationer, bliver det muligt at etablere compilerversionen hurtigere, hvilket reducerer potentielle problemer."


Desuden er denne tilgang i overensstemmelse med cybersikkerhedsprincippet om at minimere angrebsoverfladen. Dette princip opfordrer udviklere til at forenkle og fjerne systemer til deres væsentlige komponenter, hvilket mindsker sandsynligheden for sårbarheder skjult i unødvendig kompleksitet og biblioteker.


Trust understregede, at "uforanderlige smart contracts adskiller sig fundamentalt fra konventionel software" på grund af fraværet af "rutinemæssig patching eller presserende opdateringer." Den eneste levedygtige strategi er at "have tillid til sikkerheden af ​​alle komponenter i kodebasen på et specifikt tidspunkt." PayPals udviklere kan nu sætte deres lid til fem års compilertest som et pålideligt grundlag.

コメント


bottom of page