Fireblocks identifiziert und behebt die allererste Schwachstelle im Kontoabstraktionssystem von Ethereum
Summary:
Fireblocks, ein Kryptowährungs-Infrastrukturunternehmen, hat erfolgreich eine ERC-4337-Schwachstelle in der Ethereum-Plattform identifiziert und behoben, die in der Smart-Contract-Wallet von UniPass gefunden wurde. Die Schwachstelle hätte es einem Cyber-Angreifer ermöglichen können, die UniPass-Wallet zu übernehmen, indem er den Kontoabstraktionsprozess von Ethereum manipulierte. Dieses Problem wurde umgehend behoben und hat dazu geführt, dass sowohl das Team von Ethereum als auch das Team von UniPass Analysen durchgeführt haben, um zukünftige ähnliche Vorfälle zu verhindern.
Fireblocks, ein Unternehmen, das sich auf Kryptowährungstechnologie spezialisiert hat, hat eine bedeutende Schwachstelle in der Infrastruktur von Ethereum gefunden und dabei geholfen, sie zu beheben, die als allererster Fehler bei der Kontoabstraktion bekannt ist. Am 26. Oktober wurde durch eine gemeinsame Anstrengung von UniPass und Fireblocks eine Schwachstelle in der ERC-4337-Kontoabstraktionslücke in der Smart-Contract-Wallet von UniPass entdeckt. Während einer proaktiven Hacking-Operation, die die Sicherheit verbessern sollte, wurde die Schwachstelle in zahlreichen Mainnet-Wallets entdeckt. Fireblocks enthüllte, dass die identifizierte Schwachstelle einem Cyber-Angreifer möglicherweise vollständigen Zugriff auf die UniPass-Wallet verschaffen und das Kontoabstraktionsverfahren von Ethereum ausnutzen könnte.
Die ERC-4337-Kontoabstraktion ist laut den technischen Ressourcen von Ethereum eine Systemänderung bei der Transaktion und Verarbeitung von Smart Contracts auf der Blockchain, um die Effizienz und Anpassungsfähigkeit zu verbessern. Standard-Ethereum-Operationen umfassen zwei Kontotypen: Vertragskonten und externe Konten (EOAs). EOAs, die durch private Schlüssel reguliert werden, können Transaktionen initiieren, während Vertragskonten durch einen Smart-Contract-Code geregelt werden. Wenn also ein EOA eine Transaktion auf ein Vertragskonto vornimmt, initiiert er die Codeausführung im Vertrag.
Das Konzept, das durch die Kontenabstraktion eingeführt wird, ist Meta-Transaktion oder verallgemeinerte abstrahierte Konten. Diese Konten sind im Gegensatz zu EOAs nicht an einen bestimmten privaten Schlüssel gebunden, sondern können Transaktionen auslösen und mit Smart Contracts interagieren. Fireblocks verdeutlicht, dass, wenn ein ERC-4337-kompatibles Konto eine Aktion ausführt, es vom Entrypoint-Vertrag abhängt, um zu überprüfen, ob nur signierte Transaktionen ausgeführt werden. Darüber hinaus vertrauen die Konten in der Regel einem einzigen geprüften EntryPoint-Vertrag, um sicherzustellen, dass er die Zustimmung des Kontos erhält, bevor eine Anweisung ausgeführt wird.
Die identifizierte Schwachstelle ermöglichte es einem Eindringling, UniPass-Wallets zu kapern, indem er den vertrauenswürdigen EntryPoint der Wallet ersetzte. Nach der erfolgreichen Übernahme des Kontos konnte der Angreifer auf die Wallet zugreifen und das verfügbare Guthaben aufbrauchen. Mehrere hundert Benutzer, die das ERC-4337-Modul in ihren Wallets aktiviert hatten, waren anfällig für diesen potenziellen Angriff, der von jedem auf der Blockchain initiiert werden konnte. Glücklicherweise wurde das Problem frühzeitig angegangen und die betroffenen Wallets enthielten nur geringe Geldbeträge.
Nachdem die Ausnutzbarkeit der Schwachstelle bestätigt wurde, führte das Forschungsteam von Fireblocks eine "White-Hat"-Operation durch, um die gefundenen Schwachstellen zu beheben. Dabei handelte es sich um eine tatsächliche Ausnutzung der Schwachstelle, die dann dem UniPass-Team zur Behebung zur Kenntnis gebracht wurde.
Vitalik Buterin, Mitbegründer von Ethereum, hat bereits auf die Komplexität hingewiesen, die mit der schnellen Implementierung von Funktionen zur Kontoabstraktion verbunden ist. Dazu gehört die Notwendigkeit eines Ethereum Improvement Proposal (EIP), um EOAs in Smart Contracts umzuwandeln und die Funktion des Protokolls auf Layer-2-Lösungen sicherzustellen.
Published At
10/27/2023 8:56:00 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.