Fireblocks identifica e corrige primeira vulnerabilidade no sistema de abstração de contas do Ethereum
Summary:
A Fireblocks, uma empresa de infraestrutura de criptomoedas, identificou e corrigiu com sucesso uma vulnerabilidade de abstração de conta ERC-4337 dentro da plataforma da Ethereum, encontrada na carteira de contrato inteligente da UniPass. A vulnerabilidade pode ter permitido que um invasor cibernético assumisse o controle da carteira UniPass manipulando o processo de abstração da conta do Ethereum. Esse problema foi prontamente mitigado e foi motivado por meio de análises da equipe da Ethereum e da UniPass para evitar futuros incidentes semelhantes.
A Fireblocks, uma empresa especializada em tecnologia de criptomoedas, encontrou e ajudou a corrigir uma vulnerabilidade significativa na infraestrutura do Ethereum, conhecida como a primeira falha de abstração de conta. Em 26 de outubro, uma falha de abstração de conta ERC-4337 foi descoberta na carteira de contrato inteligente da UniPass por meio de um esforço conjunto entre a UniPass e a Fireblocks. Durante uma operação de hacking proativa destinada a melhorar a segurança, a vulnerabilidade foi detectada em várias carteiras mainnet. Fireblocks revelou que a vulnerabilidade identificada poderia potencialmente dar a um invasor cibernético acesso completo à carteira UniPass, explorando o procedimento de abstração de conta do Ethereum.
A abstração de conta ERC-4337, de acordo com os recursos técnicos da Ethereum, é uma mudança de sistema na transação e processamento de contratos inteligentes no blockchain para aumentar a eficiência e a adaptabilidade. As operações Ethereum padrão envolvem dois tipos de conta: contas de contrato e contas de propriedade externa (EOAs). EOAs, regulados por chaves privadas, podem iniciar transações, enquanto as contas de contrato são regidas por um código de contrato inteligente. Assim, quando um EOA faz uma transação para uma conta de contrato, ele inicia a execução do código no contrato.
O conceito introduzido pela abstração de contas é metatransação ou contas abstratas generalizadas. Essas contas, ao contrário das EOAs, não estão anexadas a uma chave privada específica, mas podem instigar transações e interagir com contratos inteligentes. Fireblocks elucida que, quando uma conta compatível com ERC-4337 executa uma ação, depende do contrato Entrypoint para validar que apenas transações assinadas são executadas. Além disso, as contas geralmente confiam em um único contrato EntryPoint auditado para garantir que ele receba o consentimento da conta antes de executar uma instrução.
A vulnerabilidade identificada permitiu que um intruso sequestrasse carteiras UniPass substituindo o EntryPoint confiável da carteira. Após a aquisição bem-sucedida da conta, o invasor pode acessar a carteira e esgotar seus fundos disponíveis. Várias centenas de usuários que tinham o módulo ERC-4337 habilitado em suas carteiras estavam suscetíveis a esse potencial ataque, que poderia ser iniciado por qualquer pessoa no blockchain. Felizmente, o problema foi resolvido logo no início, e as carteiras afetadas continham apenas pequenas quantias de fundos.
Depois de confirmar a possibilidade de exploração da vulnerabilidade, a equipe de pesquisa da Fireblocks conduziu uma operação de "chapéu branco" para consertar as vulnerabilidades encontradas. Isso envolveu uma exploração real da vulnerabilidade, que foi levada ao conhecimento da equipe da UniPass para resolução.
Vitalik Buterin, cofundador da Ethereum, já havia destacado as complexidades associadas ao rastreamento rápido da implementação de funcionalidades de abstração de conta. Isso inclui a necessidade de uma Proposta de Melhoria Ethereum (EIP) para transformar EOAs em contratos inteligentes e garantir a função do protocolo em soluções de camada 2.
Published At
10/27/2023 8:56:00 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.