تكتشف Fireblocks وتصحح ثغرة تجريد الحساب الأولى في Ethereum
Summary:
كشفت Fireblocks ، وهي شركة بنية تحتية للعملات المشفرة ، وساعدت في معالجة أول ثغرة تجريد للحساب في نظام Ethereum ، وتحديدا في تجريد حساب ERC-4337 لمحفظة العقود الذكية UniPass. كان من الممكن أن تسمح الثغرة الأمنية ، التي تم اكتشافها خلال عملية قرصنة "القبعة البيضاء" ، للمتسللين بالتحكم الكامل في محافظ UniPass عن طريق تجاوز إجراء تجريد حساب Ethereum. كان عدة مئات من المستخدمين الذين لديهم وحدات ERC-4337 المنشطة في خطر. تمكن فريق بحث Fireblocks من استغلال الثغرة الأمنية في عملية Whitehat لتصحيح المشكلة بسرعة. سلط المؤسس المشارك ل Ethereum Vitalik Buterin الضوء سابقا على تحديات تعزيز الاستخدام الأكثر انتشارا لوظائف تجريد الحساب.
كشفت Fireblocks ، وهي شركة متخصصة في البنية التحتية للعملات المشفرة ، وساعدت في تصحيح ما يعرف باسم أول ثغرة تجريد للحساب داخل نظام Ethereum. في 26 أكتوبر ، تم الكشف عن وجود نقطة ضعف في تجريد حساب ERC-4337 لمحفظة العقود الذكية UniPass. تم تحديد المشكلة في مئات محافظ الشبكة الأساسية خلال عملية قرصنة أخلاقية "قبعة بيضاء" ، وتعاونت الشركتان لمعالجة الثغرة الأمنية.
أوضحت Fireblocks أن هذا الخلل كان يمكن أن يسمح للغزاة المحتملين بالسيطرة الكاملة على محفظة UniPass عن طريق التحايل على إجراء تجريد حساب Ethereum. كما هو موضح في دليل مطور Ethereum على ERC-4337 ، يعدل تجريد الحساب كيفية التعامل مع المعاملات والعقود الذكية بواسطة blockchain لتقديم المزيد من التنوع والفعالية.
في معاملات Ethereum النموذجية ، هناك نوعان من الحسابات: الحسابات المملوكة خارجيا (EOAs) وحسابات العقود. تدير المفاتيح الخاصة EOAs وتمكن المعاملات ، بينما يتحكم رمز العقد الذكي في حسابات العقود. عندما تنفذ EOA معاملة باستخدام حساب عقد ، فإنها تنشط رمز العقد.
يقدم تجريد الحساب المعاملات الوصفية أو الحسابات المجردة الأوسع نطاقا ، والتي لا ترتبط بمفتاح خاص معين ولكن يمكنها التحريض على المعاملات والتعاون مع العقود الذكية مثل EOA.
يوضح Fireblocks أنه عندما يقوم حساب يتوافق مع ERC-4337 بتنفيذ إجراء ، فإنه يستخدم عقد Entrypoint لضمان تنفيذ المعاملات الموقعة فقط. تثق هذه الحسابات بشكل عام في عقد EntryPoint واحد مدقق للتحقق من حصوله على إذن حساب قبل تنفيذ التعليمات. ولكن ، من الناحية النظرية ، قد تتجاوز نقطة الدخول الخاطئة أو الضارة استدعاء "validateUserOp" وتستدعي وظيفة التنفيذ مباشرة.
يوضح Fireblocks أن هذه الثغرة الأمنية كان من الممكن أن تمكن المهاجم من الاستيلاء على محافظ UniPass عن طريق استبدال EntryPoint الموثوق به. بعد هذا الاستيلاء ، يمكن للمتسلل استنزاف أموال المحفظة. كان عدة مئات من المستخدمين الذين قاموا بتنشيط وحدة ERC-4337 في محافظهم عرضة لهذا الهجوم الذي يمكن أن يحرض عليه أي شخص على blockchain. احتوت المحافظ المخترقة على مبالغ صغيرة فقط ، وتم حل المشكلة بسرعة نسبيا.
بمجرد التأكد من إمكانية التلاعب بالثغرة الأمنية ، نجحت وحدة أبحاث Fireblocks في تنفيذ عملية قبعة بيضاء لإصلاح العيوب الحالية. لقد استغلت الثغرة الأمنية: "اقترحنا هذه الفكرة على فريق UniPass ، الذي تولى مسؤولية تنفيذ عملية القبعة البيضاء".
أشار المؤسس المشارك ل Ethereum ، Vitalik Buterin ، سابقا إلى التحديات في تسريع الاعتماد الواسع النطاق لوظيفة تجريد الحساب. تتضمن هذه التحديات متطلبات اقتراح تحسين Ethereum (EIP) لتحويل EOAs إلى عقود ذكية والتأكد من أن البروتوكول يعمل على حلول الطبقة 2.
Published At
10/27/2023 8:56:19 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.