Fireblocks descubre y rectifica la primera vulnerabilidad de abstracción de la cuenta en Ethereum
Summary:
Fireblocks, una empresa de infraestructura de criptomonedas, descubrió y ayudó a abordar la primera vulnerabilidad de abstracción de cuentas en el sistema de Ethereum, específicamente en la abstracción de cuentas ERC-4337 de la billetera de contratos inteligentes UniPass. La vulnerabilidad, que fue descubierta durante una operación de piratería de 'sombrero blanco', podría haber permitido a los piratas informáticos el control completo de las billeteras UniPass al eludir el procedimiento de abstracción de cuentas de Ethereum. Varios centenares de usuarios con módulos ERC-4337 activados estaban en riesgo. El equipo de investigación de Fireblocks pudo explotar la vulnerabilidad en una operación de sombrero blanco para rectificar el problema rápidamente. El cofundador de Ethereum, Vitalik Buterin, destacó anteriormente los desafíos de promover un uso más generalizado de la funcionalidad de abstracción de cuentas.
Fireblocks, una empresa especializada en infraestructura de criptomonedas, ha descubierto y ayudado a rectificar lo que se conoce como la primera vulnerabilidad de abstracción de cuentas dentro del sistema de Ethereum. El 26 de octubre, se reveló que se encontró una debilidad en la abstracción de la cuenta ERC-4337 de la billetera de contrato inteligente UniPass. El problema se identificó en cientos de billeteras de redes primarias durante una operación de piratería ética de "sombrero blanco", y ambas compañías colaboraron para abordar la vulnerabilidad.
Fireblocks explicó que esta falla podría haber permitido a un posible invasor tomar el control completo de la billetera UniPass eludiendo el procedimiento de abstracción de cuentas de Ethereum. Como se describe en la guía para desarrolladores de Ethereum sobre ERC-4337, la abstracción de cuentas modifica la forma en que la cadena de bloques maneja las transacciones y los contratos inteligentes para ofrecer más versatilidad y efectividad.
En las transacciones típicas de Ethereum, hay dos tipos de cuentas: cuentas de propiedad externa (EOA) y cuentas de contrato. Las claves privadas gestionan las EOA y permiten las transacciones, mientras que el código de contrato inteligente controla las cuentas de contrato. Cuando una EOA lleva a cabo una transacción con una cuenta de contrato, activa el código del contrato.
La abstracción de cuentas introduce metatransacciones o cuentas abstractas más amplias, que no están vinculadas a una clave privada en particular, pero pueden instigar transacciones y colaborar con contratos inteligentes de forma muy similar a una EOA.
Fireblocks explica que cuando una cuenta que cumple con ERC-4337 realiza una acción, utiliza el contrato de Entrypoint para garantizar que solo se lleven a cabo las transacciones firmadas. Por lo general, estas cuentas confían en un único contrato de EntryPoint auditado para comprobar que tiene permiso de cuenta antes de ejecutar una instrucción. Pero, en teoría, un EntryPoint defectuoso o dañino podría omitir la llamada "validateUserOp" e invocar la función de ejecución directamente.
Fireblocks explica que esta vulnerabilidad podría haber permitido a un atacante apoderarse de las billeteras UniPass al reemplazar su EntryPoint de confianza. Después de esta adquisición, el infiltrado podría drenar los fondos de la billetera. Varios cientos de usuarios que habían activado el módulo ERC-4337 en sus billeteras eran susceptibles a este ataque que podría ser instigado por cualquier persona en la cadena de bloques. Las billeteras comprometidas solo contenían pequeñas cantidades y el problema se resolvió con relativa rapidez.
Una vez que se estableció que la vulnerabilidad podía ser manipulada, la unidad de investigación de Fireblocks ejecutó con éxito una operación de sombrero blanco para reparar las fallas existentes. Aprovechó la vulnerabilidad: "Sugerimos esta idea al equipo de UniPass, que asumió la responsabilidad de llevar a cabo la operación de sombrero blanco".
El cofundador de Ethereum, Vitalik Buterin, señaló anteriormente los desafíos para acelerar la adopción generalizada de la funcionalidad de abstracción de cuentas. Estos desafíos incluyen el requisito de una Propuesta de Mejora de Ethereum (EIP) para transformar los EOA en contratos inteligentes y asegurarse de que el protocolo funcione en soluciones de capa 2.
Published At
10/27/2023 8:56:19 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.