Fireblocks entdeckt und behebt erste Schwachstelle bei der Kontoabstraktion in Ethereum
Summary:
Fireblocks, ein Unternehmen für Kryptowährungsinfrastruktur, hat die erste Schwachstelle in der Kontoabstraktion im Ethereum-System aufgedeckt und dabei geholfen, sie zu beheben, insbesondere in der ERC-4337-Kontoabstraktion der UniPass-Smart-Contract-Wallet. Die Schwachstelle, die während einer "Whitehat"-Hacking-Operation entdeckt wurde, hätte es Hackern ermöglichen können, die vollständige Kontrolle über UniPass-Wallets zu erlangen, indem sie das Kontoabstraktionsverfahren von Ethereum umgangen haben. Mehrere hundert Benutzer mit aktivierten ERC-4337-Modulen waren gefährdet. Das Forschungsteam von Fireblocks war in der Lage, die Schwachstelle in einer White-Hat-Operation auszunutzen, um das Problem schnell zu beheben. Ethereum-Mitbegründer Vitalik Buterin hatte zuvor auf die Herausforderungen hingewiesen, die mit der Förderung einer breiteren Nutzung der Kontoabstraktionsfunktionalität verbunden sind.
Fireblocks, ein Unternehmen, das sich auf Kryptowährungsinfrastruktur spezialisiert hat, hat die sogenannte erste Schwachstelle bei der Kontoabstraktion im Ethereum-System aufgedeckt und behoben. Am 26. Oktober wurde bekannt, dass eine Schwachstelle in der ERC-4337-Kontoabstraktion der UniPass-Smart-Contract-Wallet gefunden wurde. Das Problem wurde in Hunderten von primären Netzwerk-Wallets während einer ethischen "Whitehat"-Hacking-Operation identifiziert, und beide Unternehmen arbeiteten zusammen, um die Schwachstelle zu beheben.
Fireblocks erklärte, dass dieser Fehler es einem potenziellen Eindringling ermöglicht haben könnte, die vollständige Kontrolle über die UniPass-Wallet zu übernehmen, indem er das Kontoabstraktionsverfahren von Ethereum umgeht. Wie im Ethereum-Entwicklerhandbuch zu ERC-4337 beschrieben, modifiziert die Kontoabstraktion die Art und Weise, wie Transaktionen und Smart Contracts von der Blockchain gehandhabt werden, um mehr Vielseitigkeit und Effektivität zu bieten.
Bei typischen Ethereum-Transaktionen gibt es zwei Arten von Konten: externe Konten (EOAs) und Vertragskonten. Private Schlüssel verwalten EOAs und ermöglichen Transaktionen, während der Smart-Contract-Code Vertragskonten steuert. Wenn ein EOA eine Transaktion mit einem Vertragskonto ausführt, aktiviert er den Code des Vertrags.
Die Kontoabstraktion führt Meta-Transaktionen oder breitere abstrahierte Konten ein, die nicht mit einem bestimmten privaten Schlüssel verknüpft sind, aber Transaktionen auslösen und mit Smart Contracts zusammenarbeiten können, ähnlich wie eine EOA.
Fireblocks erklärt, dass, wenn ein Konto, das ERC-4337 entspricht, eine Aktion ausführt, es den Entrypoint-Vertrag verwendet, um sicherzustellen, dass nur signierte Transaktionen ausgeführt werden. Diese Konten vertrauen in der Regel einem einzelnen, überwachten EntryPoint-Vertrag, um zu überprüfen, ob er über eine Kontoberechtigung verfügt, bevor eine Anweisung ausgeführt wird. Theoretisch kann ein fehlerhafter oder schädlicher EntryPoint jedoch den Aufruf "validateUserOp" umgehen und die Ausführungsfunktion direkt aufrufen.
Fireblocks erklärt, dass diese Schwachstelle es einem Angreifer ermöglicht haben könnte, UniPass-Wallets zu übernehmen, indem er den vertrauenswürdigen EntryPoint ersetzt. Nach dieser Übernahme könnte der Eindringling die Gelder der Wallet abziehen. Mehrere hundert Nutzer, die das ERC-4337-Modul in ihren Wallets aktiviert hatten, waren anfällig für diesen Angriff, der von jedem auf der Blockchain initiiert werden konnte. Die kompromittierten Wallets enthielten nur kleine Beträge, und das Problem wurde relativ schnell behoben.
Nachdem festgestellt wurde, dass die Schwachstelle manipuliert werden konnte, führte die Forschungsabteilung von Fireblocks erfolgreich eine White-Hat-Operation durch, um die bestehenden Schwachstellen zu beheben. Die Schwachstelle wurde ausgenutzt: "Wir schlugen diese Idee dem UniPass-Team vor, das die Verantwortung für die Durchführung der Whitehat-Operation übernahm."
Der Mitbegründer von Ethereum, Vitalik Buterin, wies zuvor auf die Herausforderungen hin, die mit der Beschleunigung der weit verbreiteten Einführung von Kontoabstraktionsfunktionen verbunden sind. Zu diesen Herausforderungen gehört die Anforderung eines Ethereum Improvement Proposal (EIP), um EOAs in Smart Contracts umzuwandeln und sicherzustellen, dass das Protokoll auf Layer-2-Lösungen funktioniert.
Published At
10/27/2023 8:56:19 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.