Fireblocks, Ethereum'daki İlk Hesap Soyutlama Güvenlik Açığını Keşfetti ve Düzeltti
Summary:
Bir kripto para altyapı firması olan Fireblocks, Ethereum sistemindeki, özellikle UniPass akıllı sözleşme cüzdanının ERC-4337 hesap soyutlamasındaki ilk hesap soyutlama güvenlik açığını ortaya çıkardı ve ele alınmasına yardımcı oldu. Bir 'beyaz şapka' hackleme operasyonu sırasında keşfedilen güvenlik açığı, bilgisayar korsanlarının Ethereum'un hesap soyutlama prosedürünü atlayarak UniPass cüzdanlarının tam kontrolünü sağlamasına izin verebilirdi. ERC-4337 modüllerini etkinleştiren yüzlerce kullanıcı risk altındaydı. Fireblocks'un araştırma ekibi, sorunu hızlı bir şekilde düzeltmek için beyaz şapkalı bir operasyondaki güvenlik açığından yararlanmayı başardı. Ethereum kurucu ortağı Vitalik Buterin daha önce hesap soyutlama işlevinin daha yaygın kullanımını teşvik etmenin zorluklarını vurgulamıştı.
Kripto para altyapısı konusunda uzmanlaşmış bir firma olan Fireblocks, Ethereum sistemindeki ilk hesap soyutlama güvenlik açığı olarak bilinen şeyi ortaya çıkardı ve düzeltilmesine yardımcı oldu. 26 Ekim'de, UniPass akıllı sözleşme cüzdanının ERC-4337 hesap soyutlamasında bir zayıflık bulunduğu ortaya çıktı. Sorun, etik bir 'beyaz şapka' hackleme operasyonu sırasında yüzlerce birincil ağ cüzdanında tespit edildi ve her iki şirket de güvenlik açığını gidermek için işbirliği yaptı.
Fireblocks, bu kusurun potansiyel bir işgalcinin Ethereum'un hesap soyutlama prosedürünü atlatarak UniPass cüzdanının tam kontrolünü ele geçirmesine izin vermiş olabileceğini açıkladı. Ethereum'un ERC-4337 geliştirici kılavuzunda belirtildiği gibi, hesap soyutlama, daha fazla çok yönlülük ve etkinlik sunmak için işlemlerin ve akıllı sözleşmelerin blok zinciri tarafından nasıl ele alındığını değiştirir.
Tipik Ethereum işlemlerinde iki tür hesap vardır: harici olarak sahip olunan hesaplar (EOA'lar) ve sözleşme hesapları. Özel anahtarlar EOA'ları yönetir ve işlemleri etkinleştirirken, akıllı sözleşme kodu sözleşme hesaplarını kontrol eder. Bir EOA, bir sözleşme hesabıyla bir işlem gerçekleştirdiğinde, sözleşmenin kodunu etkinleştirir.
Hesap soyutlama, belirli bir özel anahtara bağlı olmayan ancak işlemleri başlatabilen ve bir EOA gibi akıllı sözleşmelerle işbirliği yapabilen meta işlemleri veya daha geniş soyutlanmış hesapları tanıtır.
Fireblocks, ERC-4337 ile uyumlu bir hesap bir eylem gerçekleştirdiğinde, yalnızca imzalı işlemlerin gerçekleştirildiğinden emin olmak için Giriş Noktası sözleşmesini kullandığını açıklıyor. Bu hesaplar, bir talimatı yürütmeden önce hesap iznine sahip olduğunu doğrulamak için genellikle denetlenmiş tek bir EntryPoint sözleşmesine güvenir. Ancak teoride, hatalı veya zararlı bir EntryPoint "validateUserOp" çağrısını atlayabilir ve yürütme işlevini doğrudan çağırabilir.
Fireblocks, bu güvenlik açığının bir saldırganın güvenilir EntryPoint'i değiştirerek UniPass cüzdanlarını ele geçirmesini sağlamış olabileceğini açıklıyor. Bu devralma işleminden sonra, casus, cüzdanın fonlarını boşaltabilir. Cüzdanlarında ERC-4337 modülünü etkinleştiren yüzlerce kullanıcı, blok zincirindeki herhangi biri tarafından başlatılabilecek bu saldırıya karşı hassastı. Güvenliği ihlal edilen cüzdanlar yalnızca küçük miktarlar içeriyordu ve sorun nispeten hızlı bir şekilde çözüldü.
Güvenlik açığının manipüle edilebileceği tespit edildikten sonra, Fireblocks'un araştırma birimi mevcut kusurları onarmak için başarılı bir beyaz şapka operasyonu gerçekleştirdi. Güvenlik açığından yararlandı: "Bu fikri, beyaz şapka operasyonunu gerçekleştirme sorumluluğunu üstlenen UniPass ekibine önerdik."
Ethereum'un kurucu ortağı Vitalik Buterin, daha önce hesap soyutlama işlevinin yaygın olarak benimsenmesini hızlandırmanın zorluklarına dikkat çekmişti. Bu zorluklar arasında, EOA'ları akıllı sözleşmelere dönüştürmek için bir Ethereum İyileştirme Önerisi (EIP) gerekliliği ve protokolün katman-2 çözümlerinde çalıştığından emin olmak yer alıyor.
Published At
10/27/2023 8:56:19 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.