Fireblocks scopre e corregge la vulnerabilità di astrazione del primo account in Ethereum
Summary:
Fireblocks, una società di infrastrutture di criptovaluta, ha scoperto e contribuito a risolvere la prima vulnerabilità di astrazione dell'account nel sistema di Ethereum, in particolare nell'astrazione dell'account ERC-4337 del portafoglio di smart contract UniPass. La vulnerabilità, che è stata scoperta durante un'operazione di hacking "whitehat", avrebbe potuto consentire agli hacker il controllo completo dei wallet UniPass bypassando la procedura di astrazione dell'account di Ethereum. Diverse centinaia di utenti con moduli ERC-4337 attivati erano a rischio. Il team di ricerca di Fireblocks è stato in grado di sfruttare la vulnerabilità in un'operazione whitehat per correggere rapidamente il problema. Il co-fondatore di Ethereum, Vitalik Buterin, ha precedentemente evidenziato le sfide legate alla promozione di un uso più diffuso della funzionalità di astrazione dell'account.
Fireblocks, un'azienda specializzata in infrastrutture di criptovalute, ha scoperto e contribuito a correggere quella che è nota come la prima vulnerabilità di astrazione dell'account all'interno del sistema di Ethereum. Il 26 ottobre, è stato rivelato che è stata trovata una debolezza nell'astrazione dell'account ERC-4337 del portafoglio di smart contract UniPass. Il problema è stato identificato in centinaia di wallet di rete primari durante un'operazione di hacking etico "whitehat" ed entrambe le società hanno collaborato per affrontare la vulnerabilità.
Fireblocks ha spiegato che questo difetto avrebbe potuto consentire a un potenziale invasore di prendere il controllo completo del portafoglio UniPass aggirando la procedura di astrazione dell'account di Ethereum. Come delineato nella guida per gli sviluppatori di Ethereum su ERC-4337, l'astrazione dell'account modifica il modo in cui le transazioni e gli smart contract vengono gestiti dalla blockchain per offrire maggiore versatilità ed efficacia.
Nelle tipiche transazioni Ethereum, ci sono due tipi di account: account di proprietà esterna (EOA) e account a contratto. Le chiavi private gestiscono gli EOA e abilitano le transazioni, mentre il codice degli smart contract controlla gli account dei contratti. Quando un EOA effettua una transazione con un conto contrattuale, attiva il codice del contratto.
L'astrazione dell'account introduce meta-transazioni o account astratti più ampi, che non sono collegati a una particolare chiave privata, ma possono avviare transazioni e collaborare con gli smart contract in modo molto simile a un EOA.
Fireblocks spiega che quando un account conforme a ERC-4337 esegue un'azione, utilizza il contratto Entrypoint per garantire che vengano eseguite solo le transazioni firmate. Questi account in genere considerano attendibile un singolo contratto EntryPoint controllato per verificare che disponga dell'autorizzazione dell'account prima di eseguire un'istruzione. Tuttavia, in teoria, un oggetto EntryPoint difettoso o dannoso potrebbe ignorare la chiamata "validateUserOp" e richiamare direttamente la funzione di esecuzione.
Fireblocks spiega che questa vulnerabilità avrebbe potuto consentire a un utente malintenzionato di assumere il controllo dei portafogli UniPass sostituendo il suo fidato EntryPoint. Dopo questa acquisizione, l'infiltrato potrebbe prosciugare i fondi del portafoglio. Diverse centinaia di utenti che avevano attivato il modulo ERC-4337 nei loro wallet erano suscettibili a questo attacco che poteva essere istigato da chiunque sulla blockchain. I portafogli compromessi contenevano solo piccole quantità e il problema è stato risolto in tempi relativamente brevi.
Una volta stabilito che la vulnerabilità poteva essere manipolata, l'unità di ricerca di Fireblocks ha eseguito con successo un'operazione whitehat per correggere i difetti esistenti. Ha sfruttato la vulnerabilità: "Abbiamo suggerito questa idea al team di UniPass, che si è assunto la responsabilità di eseguire l'operazione whitehat".
Il co-fondatore di Ethereum, Vitalik Buterin, ha precedentemente sottolineato le sfide nell'accelerare l'adozione diffusa della funzionalità di astrazione dell'account. Queste sfide includono la necessità di una Ethereum Improvement Proposal (EIP) per trasformare gli EOA in smart contract e assicurarsi che il protocollo funzioni su soluzioni layer-2.
Published At
10/27/2023 8:56:19 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.