Fireblocks identifie et corrige la toute première vulnérabilité dans le système d’abstraction de compte d’Ethereum
Summary:
Fireblocks, une société d’infrastructure de crypto-monnaie, a réussi à identifier et à rectifier une vulnérabilité d’abstraction de compte ERC-4337 au sein de la plate-forme Ethereum, trouvée dans le portefeuille de contrats intelligents d’UniPass. La vulnérabilité aurait pu permettre à un cyberattaquant de prendre le contrôle du portefeuille UniPass en manipulant le processus d’abstraction du compte d’Ethereum. Ce problème a été rapidement atténué et a incité l’équipe d’Ethereum et d’UniPass à prévenir tout incident similaire à l’avenir.
Fireblocks, une société spécialisée dans la technologie des crypto-monnaies, a trouvé et aidé à corriger une vulnérabilité importante dans l’infrastructure d’Ethereum, connue sous le nom de tout premier problème d’abstraction de compte. Le 26 octobre, une faille d’abstraction de compte ERC-4337 a été découverte dans le portefeuille de contrats intelligents d’UniPass grâce à un effort conjoint entre UniPass et Fireblocks. Lors d’une opération de piratage proactive visant à améliorer la sécurité, la vulnérabilité a été détectée dans de nombreux portefeuilles du réseau principal. Fireblocks a révélé que la vulnérabilité identifiée pourrait potentiellement donner à un cyberattaquant un accès complet au portefeuille UniPass, en exploitant la procédure d’abstraction de compte d’Ethereum.
L’abstraction de compte ERC-4337, selon les ressources techniques d’Ethereum, est un changement de système dans la transaction et le traitement des contrats intelligents sur la blockchain pour améliorer l’efficacité et l’adaptabilité. Les opérations standard d’Ethereum impliquent deux types de comptes : les comptes contractuels et les comptes détenus par des tiers (EOA). Les EOA, régulés par des clés privées, peuvent initier des transactions, tandis que les comptes de contrat sont régis par un code de contrat intelligent. Ainsi, lorsqu’un EOA effectue une transaction sur un compte de contrat, il lance l’exécution du code dans le contrat.
Le concept introduit par l’abstraction de compte est celui de méta-transaction ou de comptes abstraits généralisés. Ces comptes, contrairement aux EOA, ne sont pas attachés à une clé privée spécifique, mais peuvent initier des transactions et interagir avec des contrats intelligents. Fireblocks explique que lorsqu’un compte conforme à la norme ERC-4337 effectue une action, il dépend du contrat Entrypoint pour valider que seules les transactions signées sont exécutées. De plus, les comptes font généralement confiance à un seul contrat EntryPoint audité pour s’assurer qu’il reçoit le consentement du compte avant d’exécuter une instruction.
La vulnérabilité identifiée a permis à un intrus de détourner les portefeuilles UniPass en remplaçant le point d’entrée de confiance du portefeuille. Après la prise de contrôle réussie du compte, l’attaquant pourrait accéder au portefeuille et épuiser ses fonds disponibles. Plusieurs centaines d’utilisateurs qui avaient activé le module ERC-4337 dans leurs portefeuilles étaient sensibles à cette attaque potentielle, qui pouvait être initiée par n’importe qui sur la blockchain. Heureusement, le problème a été abordé très tôt, et les portefeuilles touchés ne contenaient que de petits montants de fonds.
Après avoir confirmé l’exploitabilité de la vulnérabilité, l’équipe de recherche de Fireblocks a mené une opération de « white hat » pour corriger les vulnérabilités trouvées. Il s’agissait d’une véritable exploitation de la vulnérabilité, qui a ensuite été portée à l’attention de l’équipe d’UniPass pour résolution.
Vitalik Buterin, cofondateur d’Ethereum, a déjà souligné les complexités associées à l’accélération de la mise en œuvre des fonctionnalités d’abstraction de compte. Il s’agit notamment de la nécessité d’une proposition d’amélioration d’Ethereum (EIP) pour transformer les EOA en contrats intelligents et assurer le fonctionnement du protocole sur les solutions de couche 2.
Published At
10/27/2023 8:56:00 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.