Fireblocks 发现并纠正以太坊中的第一个账户抽象漏洞
Summary:
加密货币基础设施公司 Fireblocks 发现并帮助解决了以太坊系统中的第一个账户抽象漏洞,特别是在 UniPass 智能合约钱包的 ERC-4337 账户抽象中。该漏洞是在“白帽”黑客行动中发现的,它可能允许黑客通过绕过以太坊的帐户抽象程序来完全控制UniPass钱包。数百名激活了 ERC-4337 模块的用户处于危险之中。Fireblocks 的研究团队能够利用白帽操作中的漏洞来迅速纠正该问题。以太坊联合创始人Vitalik Buterin此前曾强调过促进更广泛使用账户抽象功能的挑战。
Fireblocks是一家专门从事加密货币基础设施的公司,它发现并帮助纠正了以太坊系统中所谓的第一个账户抽象漏洞。10 月 26 日,有消息称,UniPass 智能合约钱包的 ERC-4337 账户抽象中发现了一个漏洞。在道德“白帽”黑客行动期间,在数百个主要网络钱包中发现了该问题,两家公司合作解决了该漏洞。
Fireblocks解释说,这个漏洞可能允许潜在的入侵者通过规避以太坊的账户抽象程序来完全控制UniPass钱包。正如以太坊在 ERC-4337 上的开发人员指南中所述,账户抽象修改了区块链处理交易和智能合约的方式,以提供更多的多功能性和有效性。
在典型的以太坊交易中,有两种类型的账户:外部拥有的账户(EOA)和合约账户。私钥管理EOA并启用交易,而智能合约代码控制合约账户。当EOA使用合约账户进行交易时,它会激活合约代码。
账户抽象引入了元交易或更广泛的抽象账户,它们不与特定的私钥相关联,但可以发起交易并与智能合约进行协作,就像EOA一样。
Fireblocks 解释说,当符合 ERC-4337 的账户执行操作时,它使用 Entrypoint 合约来确保只执行已签名的交易。这些帐户通常信任单个经过审计的 EntryPoint 合约,以在执行指令之前验证其是否具有帐户权限。但是,从理论上讲,错误或有害的 EntryPoint 可能会绕过“validateUserOp”调用并直接调用执行函数。
Fireblocks 解释说,此漏洞可能使攻击者能够通过替换其受信任的 EntryPoint 来接管 UniPass 钱包。在这次收购之后,渗透者可以耗尽钱包的资金。数百名在钱包中激活了 ERC-4337 模块的用户容易受到这种攻击,这种攻击可能由区块链上的任何人煽动。受感染的钱包只包含少量金额,问题很快就得到了解决。
一旦确定该漏洞可以纵,Fireblocks 的研究部门就成功地执行了白帽操作来修复现有的缺陷。它利用了这个漏洞:“我们向UniPass团队提出了这个想法,他们负责执行白帽操作。
以太坊的联合创始人Vitalik Buterin此前指出了加速账户抽象功能广泛采用的挑战。这些挑战包括要求以太坊改进提案 (EIP) 将 EOA 转换为智能合约,并确保协议在第 2 层解决方案上运行。
Published At
10/27/2023 8:56:19 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.