Fireblocks identifica y corrige la primera vulnerabilidad en el sistema de abstracción de cuentas de Ethereum
Summary:
Fireblocks, una empresa de infraestructura de criptomonedas, identificó y rectificó con éxito una vulnerabilidad de abstracción de cuenta ERC-4337 dentro de la plataforma de Ethereum, que se encuentra en la billetera de contratos inteligentes de UniPass. La vulnerabilidad podría haber permitido a un atacante cibernético apoderarse de la billetera UniPass manipulando el proceso de abstracción de cuentas de Ethereum. Este problema se mitigó rápidamente y ha motivado el análisis tanto del equipo de Ethereum como del de UniPass para evitar futuros incidentes similares.
Fireblocks, una empresa especializada en tecnología de criptomonedas, ha encontrado y ayudado a corregir una vulnerabilidad significativa dentro de la infraestructura de Ethereum, conocida como la primera falla de abstracción de cuentas. El 26 de octubre, se descubrió una falla de abstracción de cuenta ERC-4337 en la billetera de contratos inteligentes de UniPass a través de un esfuerzo conjunto entre UniPass y Fireblocks. Durante una operación de piratería proactiva destinada a mejorar la seguridad, se detectó la vulnerabilidad en numerosas billeteras de la red principal. Fireblocks reveló que la vulnerabilidad identificada podría dar a un atacante cibernético acceso completo a la billetera UniPass, explotando el procedimiento de abstracción de cuentas de Ethereum.
La abstracción de la cuenta ERC-4337, según los recursos técnicos de Ethereum, es un cambio de sistema en la transacción y el procesamiento de contratos inteligentes en la cadena de bloques para mejorar la eficiencia y la adaptabilidad. Las operaciones estándar de Ethereum involucran dos tipos de cuentas: cuentas de contrato y cuentas de propiedad externa (EOA). Las EOA, reguladas por claves privadas, pueden iniciar transacciones, mientras que las cuentas de contrato se rigen por un código de contrato inteligente. Por lo tanto, cuando una EOA realiza una transacción en una cuenta de contrato, inicia la ejecución del código en el contrato.
El concepto introducido por la abstracción de cuentas es meta-transacción o cuentas abstractas generalizadas. Estas cuentas, a diferencia de las EOA, no están vinculadas a una clave privada específica, pero pueden instigar transacciones e interactuar con contratos inteligentes. Fireblocks aclara que cuando una cuenta que cumple con ERC-4337 realiza una acción, depende del contrato de Entrypoint para validar que solo se ejecuten las transacciones firmadas. Además, las cuentas generalmente confían en un único contrato de EntryPoint auditado para asegurarse de que recibe el consentimiento de la cuenta antes de ejecutar una instrucción.
La vulnerabilidad identificada permitió a un intruso secuestrar las billeteras UniPass reemplazando el EntryPoint confiable de la billetera. Después de la toma exitosa de la cuenta, el atacante podría acceder a la billetera y agotar sus fondos disponibles. Varios cientos de usuarios que tenían habilitado el módulo ERC-4337 en sus billeteras eran susceptibles a este posible ataque, que podría ser iniciado por cualquier persona en la cadena de bloques. Afortunadamente, el problema se abordó desde el principio y las billeteras afectadas solo contenían pequeñas cantidades de fondos.
Después de confirmar la explotabilidad de la vulnerabilidad, el equipo de investigación de Fireblocks llevó a cabo una operación de "sombrero blanco" para reparar las vulnerabilidades encontradas. Esto implicó una explotación real de la vulnerabilidad, que luego se puso en conocimiento del equipo de UniPass para su resolución.
Vitalik Buterin, cofundador de Ethereum, ha destacado anteriormente las complejidades asociadas con la aceleración de la implementación de las funcionalidades de abstracción de cuentas. Estos incluyen la necesidad de una Propuesta de Mejora de Ethereum (EIP) para transformar los EOA en contratos inteligentes y asegurar la función del protocolo en soluciones de capa 2.
Published At
10/27/2023 8:56:00 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.