Fireblocks découvre et corrige la vulnérabilité d’abstraction du premier compte dans Ethereum
Summary:
Fireblocks, une société d’infrastructure de crypto-monnaie, a découvert et aidé à résoudre la première vulnérabilité d’abstraction de compte dans le système d’Ethereum, en particulier dans l’abstraction de compte ERC-4337 du portefeuille de contrats intelligents UniPass. La vulnérabilité, qui a été découverte lors d’une opération de piratage « whitehat », aurait pu permettre aux pirates de contrôler complètement les portefeuilles UniPass en contournant la procédure d’abstraction de compte d’Ethereum. Plusieurs centaines d’utilisateurs avec des modules ERC-4337 activés étaient en danger. L’équipe de recherche de Fireblocks a été en mesure d’exploiter la vulnérabilité dans le cadre d’une opération whitehat pour rectifier rapidement le problème. Le cofondateur d’Ethereum, Vitalik Buterin, a précédemment souligné les défis liés à la promotion d’une utilisation plus généralisée de la fonctionnalité d’abstraction de compte.
Fireblocks, une entreprise spécialisée dans l’infrastructure des crypto-monnaies, a découvert et aidé à rectifier ce que l’on appelle la première vulnérabilité d’abstraction de compte dans le système d’Ethereum. Le 26 octobre, il a été révélé qu’une faiblesse avait été détectée dans l’abstraction du compte ERC-4337 du portefeuille de contrats intelligents UniPass. Le problème a été identifié dans des centaines de portefeuilles de réseau primaires lors d’une opération de piratage éthique de type « whitehat », et les deux sociétés ont collaboré pour remédier à la vulnérabilité.
Fireblocks a expliqué que cette faille aurait pu permettre à un envahisseur potentiel de prendre le contrôle total du portefeuille UniPass en contournant la procédure d’abstraction de compte d’Ethereum. Comme indiqué dans le guide du développeur d’Ethereum sur ERC-4337, l’abstraction de compte modifie la façon dont les transactions et les contrats intelligents sont traités par la blockchain pour offrir plus de polyvalence et d’efficacité.
Dans les transactions Ethereum typiques, il existe deux types de comptes : les comptes détenus par des tiers (EOA) et les comptes contractuels. Les clés privées gèrent les EOA et activent les transactions, tandis que le code de contrat intelligent contrôle les comptes de contrat. Lorsqu’un EOA effectue une transaction avec un compte de contrat, il active le code du contrat.
L’abstraction de compte introduit des méta-transactions ou des comptes abstraits plus larges, qui ne sont pas liés à une clé privée particulière, mais peuvent initier des transactions et collaborer avec des contrats intelligents, un peu comme un EOA.
Fireblocks explique que lorsqu’un compte conforme à la norme ERC-4337 effectue une action, il utilise le contrat Entrypoint pour s’assurer que seules les transactions signées sont effectuées. Ces comptes font généralement confiance à un contrat EntryPoint unique et audité pour vérifier qu’il dispose de l’autorisation de compte avant d’exécuter une instruction. Mais, en théorie, un point d’entrée défectueux ou nuisible peut contourner l’appel « validateUserOp » et appeler directement la fonction d’exécution.
Fireblocks explique que cette vulnérabilité aurait pu permettre à un attaquant de prendre le contrôle des portefeuilles UniPass en remplaçant son point d’entrée de confiance. Après cette prise de contrôle, l’infiltré pourrait drainer les fonds du portefeuille. Plusieurs centaines d’utilisateurs ayant activé le module ERC-4337 dans leurs portefeuilles étaient sensibles à cette attaque qui pouvait être initiée par n’importe qui sur la blockchain. Les portefeuilles compromis ne contenaient que de petits montants, et le problème a été résolu relativement rapidement.
Une fois qu’il a été établi que la vulnérabilité pouvait être manipulée, l’unité de recherche de Fireblocks a exécuté avec succès une opération whitehat pour corriger les failles existantes. Il a exploité la vulnérabilité : « Nous avons suggéré cette idée à l’équipe d’UniPass, qui a pris la responsabilité de mener à bien l’opération whitehat. »
Le cofondateur d’Ethereum, Vitalik Buterin, a précédemment souligné les défis liés à l’accélération de l’adoption généralisée de la fonctionnalité d’abstraction de compte. Ces défis incluent l’exigence d’une proposition d’amélioration d’Ethereum (EIP) pour transformer les EOA en contrats intelligents et s’assurer que le protocole fonctionne sur des solutions de couche 2.
Published At
10/27/2023 8:56:19 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.