Fireblocks, Ethereum'un Hesap Soyutlama Sistemindeki İlk Güvenlik Açığını Tespit Etti ve Düzeltti
Summary:
Bir kripto para altyapı firması olan Fireblocks, UniPass'in akıllı sözleşme cüzdanında bulunan Ethereum platformundaki bir ERC-4337 hesap soyutlama güvenlik açığını başarıyla tespit etti ve düzeltti. Güvenlik açığı, bir siber saldırganın Ethereum'un hesap soyutlama sürecini manipüle ederek UniPass Cüzdanını ele geçirmesine izin vermiş olabilir. Bu sorun derhal hafifletildi ve hem Ethereum'un hem de UniPass ekibinin analizleri yoluyla gelecekte benzer olayları önlemek için harekete geçti.
Kripto para teknolojisinde uzmanlaşmış bir şirket olan Fireblocks, Ethereum'un altyapısında ilk hesap soyutlama hatası olarak bilinen önemli bir güvenlik açığı buldu ve düzeltilmesine yardımcı oldu. 26 Ekim'de, UniPass ve Fireblocks arasındaki ortak bir çabayla UniPass'in akıllı sözleşme cüzdanında bir ERC-4337 hesap soyutlama kusuru keşfedildi. Güvenliği artırmayı amaçlayan proaktif bir bilgisayar korsanlığı operasyonu sırasında, güvenlik açığı çok sayıda ana ağ cüzdanında tespit edildi. Fireblocks, tespit edilen güvenlik açığının potansiyel olarak bir siber saldırgana Ethereum'un hesap soyutlama prosedüründen yararlanarak UniPass Cüzdanına tam erişim sağlayabileceğini ortaya çıkardı.
Ethereum'un teknik kaynaklarına göre ERC-4337 hesap soyutlaması, verimliliği ve uyarlanabilirliği artırmak için blok zincirinde akıllı sözleşmelerin işlenmesinde ve işlenmesinde bir sistem değişikliğidir. Standart Ethereum işlemleri iki hesap türünü içerir: sözleşme hesapları ve harici olarak sahip olunan hesaplar (EOA'lar). Özel anahtarlarla düzenlenen EOA'lar işlemleri başlatabilirken, sözleşme hesapları akıllı sözleşme koduyla yönetilir. Dolayısıyla, bir EOA bir sözleşme hesabına işlem yaptığında, sözleşmede kod yürütmeyi başlatır.
Hesap soyutlaması ile ortaya konan kavram, meta-işlem veya genelleştirilmiş soyutlanmış hesaplardır. Bu hesaplar, EOA'ların aksine, belirli bir özel anahtara bağlı değildir, ancak işlemleri başlatabilir ve akıllı sözleşmelerle etkileşime girebilir. Fireblocks, ERC-4337 uyumlu bir hesap bir işlem yaptığında, yalnızca imzalanan işlemlerin yürütüldüğünü doğrulamanın Entrypoint sözleşmesine bağlı olduğunu açıklar. Ayrıca, hesaplar, bir talimatı yürütmeden önce hesaptan onay aldığından emin olmak için genellikle denetlenmiş tek bir EntryPoint sözleşmesine güvenir.
Tespit edilen güvenlik açığı, bir davetsiz misafirin cüzdanın güvenilir Giriş Noktasını değiştirerek UniPass cüzdanlarını ele geçirmesine izin verdi. Hesabın başarılı bir şekilde ele geçirilmesinin ardından, saldırgan cüzdana erişebilir ve mevcut fonlarını tüketebilir. Cüzdanlarında ERC-4337 modülünü etkinleştiren yüzlerce kullanıcı, blok zincirindeki herhangi biri tarafından başlatılabilecek bu potansiyel saldırıya karşı hassastı. Neyse ki, sorun erkenden çözüldü ve etkilenen cüzdanlar yalnızca küçük fon miktarları içeriyordu.
Güvenlik açığının istismar edilebilirliğini doğruladıktan sonra, Fireblocks'un araştırma ekibi, bulunan güvenlik açıklarını onarmak için bir "beyaz şapka" operasyonu gerçekleştirdi. Bu, güvenlik açığından gerçek bir şekilde yararlanılmasını içeriyordu ve daha sonra çözüm için UniPass ekibinin dikkatine sunuldu.
Ethereum'un kurucu ortağı Vitalik Buterin, daha önce hesap soyutlama işlevlerinin uygulanmasının hızlı bir şekilde izlenmesiyle ilgili karmaşıklıkları vurgulamıştı. Bunlar, EOA'ları akıllı sözleşmelere dönüştürmek ve protokolün katman-2 çözümlerinde çalışmasını sağlamak için bir Ethereum İyileştirme Önerisine (EIP) duyulan ihtiyacı içerir.
Published At
10/27/2023 8:56:00 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.