Fireblocks обнаружила и устранила первую уязвимость абстракции учетной записи в Ethereum
Summary:
Fireblocks, компания, занимающаяся инфраструктурой криптовалют, обнаружила и помогла устранить первую уязвимость абстракции учетной записи в системе Ethereum, в частности, в абстракции учетной записи ERC-4337 кошелька смарт-контрактов UniPass. Уязвимость, которая была обнаружена во время «белой» хакерской операции, могла позволить хакерам получить полный контроль над кошельками UniPass, обойдя процедуру абстракции учетной записи Ethereum. Несколько сотен пользователей с активированными модулями ERC-4337 оказались в зоне риска. Исследовательская группа Fireblocks смогла использовать уязвимость в белой хакерской операции, чтобы быстро устранить проблему. Соучредитель Ethereum Виталик Бутерин ранее обозначил проблемы продвижения более широкого использования функциональности абстракции учетных записей.
Fireblocks, фирма, специализирующаяся на криптовалютной инфраструктуре, обнаружила и помогла исправить так называемую первую уязвимость абстракции учетной записи в системе Ethereum. 26 октября было выявлено, что в абстракции учетной записи ERC-4337 кошелька смарт-контрактов UniPass была обнаружена уязвимость. Проблема была выявлена в сотнях основных сетевых кошельков во время этичной операции по «белому» взлому, и обе компании сотрудничали для устранения уязвимости.
В Fireblocks объяснили, что эта уязвимость могла позволить потенциальному злоумышленнику получить полный контроль над кошельком UniPass, обойдя процедуру абстракции учетной записи Ethereum. Как указано в руководстве для разработчиков Ethereum по ERC-4337, абстракция учетной записи изменяет то, как транзакции и смарт-контракты обрабатываются блокчейном, чтобы обеспечить большую универсальность и эффективность.
В типичных транзакциях Ethereum существует два типа счетов: счета, принадлежащие внешним владельцам (EOA), и контрактные счета. Закрытые ключи управляют EOA и позволяют проводить транзакции, в то время как код смарт-контрактов управляет контрактными учетными записями. Когда EOA проводит транзакцию с контрактным счетом, он активирует код контракта.
Абстракция учетной записи вводит метатранзакции или более широкие абстрактные учетные записи, которые не связаны с конкретным закрытым ключом, но могут инициировать транзакции и сотрудничать со смарт-контрактами, подобно EOA.
Fireblocks объясняет, что когда учетная запись, соответствующая стандарту ERC-4337, выполняет действие, она использует контракт Entrypoint, чтобы гарантировать, что выполняются только подписанные транзакции. Эти учетные записи обычно доверяют одному проверенному контракту EntryPoint, чтобы убедиться, что у него есть разрешение учетной записи, прежде чем выполнять инструкцию. Но, теоретически, неисправный или вредоносный EntryPoint может обойти вызов "validateUserOp" и вызвать функцию выполнения напрямую.
Fireblocks объясняет, что эта уязвимость могла позволить злоумышленнику получить контроль над кошельками UniPass, заменив его доверенную точку входа. После такого захвата злоумышленник мог слить средства кошелька. Несколько сотен пользователей, которые активировали модуль ERC-4337 в своих кошельках, были подвержены этой атаке, которая могла быть спровоцирована кем угодно в блокчейне. Скомпрометированные кошельки содержали лишь небольшие суммы, и проблема была решена относительно быстро.
Как только было установлено, что уязвимостью можно манипулировать, исследовательское подразделение Fireblocks успешно провело операцию по исправлению существующих недостатков. Он эксплуатировал уязвимость: «Мы предложили эту идею команде UniPass, которая взяла на себя ответственность за проведение белой операции».
Соучредитель Ethereum Виталик Бутерин ранее указывал на проблемы в ускорении широкого внедрения функциональности абстракции учетных записей. Эти проблемы включают в себя требование к предложению по улучшению Ethereum (EIP) для преобразования EOA в смарт-контракты и обеспечение того, чтобы протокол функционировал на решениях уровня 2.
Published At
10/27/2023 8:56:19 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.