Fireblocks выявила и устранила первую в истории уязвимость в системе абстракции учетной записи Ethereum
Summary:
Fireblocks, компания, занимающаяся инфраструктурой криптовалют, успешно обнаружила и устранила уязвимость абстракции учетной записи ERC-4337 на платформе Ethereum, обнаруженную в кошельке смарт-контрактов UniPass. Уязвимость могла позволить киберпреступнику получить контроль над кошельком UniPass, манипулируя процессом абстракции учетной записи Ethereum. Эта проблема была оперативно устранена и побудила команду Ethereum и UniPass провести анализ для предотвращения подобных инцидентов в будущем.
Fireblocks, компания, специализирующаяся на криптовалютных технологиях, обнаружила и помогла исправить значительную уязвимость в инфраструктуре Ethereum, известную как первый в истории сбой абстракции учетной записи. 26 октября в кошельке смарт-контрактов UniPass благодаря совместным усилиям UniPass и Fireblocks была обнаружена уязвимость абстракции учетной записи ERC-4337. В ходе упреждающей хакерской операции, направленной на повышение безопасности, уязвимость была обнаружена во многих кошельках основной сети. Fireblocks показала, что выявленная уязвимость потенциально может дать киберпреступнику полный доступ к кошельку UniPass, используя процедуру абстракции учетной записи Ethereum.
Абстракция учетной записи ERC-4337, согласно техническим ресурсам Ethereum, представляет собой системное изменение транзакций и обработки смарт-контрактов на блокчейне для повышения эффективности и адаптивности. Стандартные операции Ethereum включают в себя два типа счетов: контрактные счета и счета, принадлежащие внешним владельцам (EOA). EOA, регулируемые закрытыми ключами, могут инициировать транзакции, в то время как контрактные учетные записи регулируются кодом смарт-контракта. Таким образом, когда EOA совершает транзакцию на счет контракта, он инициирует выполнение кода в контракте.
Понятие, введенное абстракцией счета, называется метатранзакцией или обобщенными абстрактными счетами. Эти учетные записи, в отличие от EOA, не привязаны к конкретному закрытому ключу, но могут инициировать транзакции и взаимодействовать со смарт-контрактами. Fireblocks разъясняет, что когда учетная запись, совместимая с ERC-4337, выполняет действие, она зависит от контракта Entrypoint, чтобы проверить, выполняются ли только подписанные транзакции. Более того, учетные записи, как правило, доверяют одному проверенному контракту EntryPoint, чтобы убедиться, что он получает согласие от учетной записи перед выполнением инструкции.
Выявленная уязвимость позволяла злоумышленнику захватить кошельки UniPass, подменив доверенный EntryPoint кошелька. После успешного захвата аккаунта злоумышленник может получить доступ к кошельку и истощить доступные на нем средства. Несколько сотен пользователей, у которых в кошельках был включен модуль ERC-4337, были подвержены этой потенциальной атаке, которая могла быть инициирована кем угодно в блокчейне. К счастью, проблема была решена на раннем этапе, и затронутые кошельки содержали лишь небольшие суммы средств.
После подтверждения возможности использования уязвимости, исследовательская группа Fireblocks провела «белую» операцию по устранению найденных уязвимостей. Это включало в себя фактическую эксплуатацию уязвимости, которая затем была доведена до сведения команды UniPass для устранения.
Виталик Бутерин, соучредитель Ethereum, ранее обращал внимание на сложности, связанные с ускорением реализации функций абстракции учетных записей. К ним относится необходимость предложения по улучшению Ethereum (EIP) для преобразования EOA в смарт-контракты и обеспечения функционирования протокола на решениях уровня 2.
Published At
10/27/2023 8:56:00 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.