تحدد Fireblocks وتصلح أول ثغرة أمنية على الإطلاق في نظام تجريد حساب Ethereum
Summary:
نجحت Fireblocks ، وهي شركة بنية تحتية للعملات المشفرة ، في تحديد وتصحيح ثغرة تجريد حساب ERC-4337 داخل منصة Ethereum ، الموجودة في محفظة العقود الذكية الخاصة ب UniPass. كان من الممكن أن تسمح الثغرة الأمنية لمهاجم إلكتروني بالاستيلاء على محفظة UniPass من خلال التلاعب بعملية تجريد حساب Ethereum. تم تخفيف هذه المشكلة على الفور ودفعت من خلال التحليل من كل من فريق Ethereum و UniPass لمنع أي حوادث مماثلة في المستقبل.
وجدت Fireblocks ، وهي شركة متخصصة في تكنولوجيا العملات المشفرة ، وساعدت في إصلاح ثغرة أمنية كبيرة داخل البنية التحتية ل Ethereum ، والمعروفة باسم أول خلل في تجريد الحساب على الإطلاق. في 26 أكتوبر ، تم اكتشاف عيب في تجريد حساب ERC-4337 في محفظة العقود الذكية لشركة UniPass من خلال جهد مشترك بين UniPass و Fireblocks. أثناء عملية قرصنة استباقية تهدف إلى تحسين الأمان ، تم اكتشاف الثغرة الأمنية في العديد من محافظ الشبكة الرئيسية. كشفت Fireblocks أن الثغرة الأمنية المحددة يمكن أن تمنح المهاجم السيبراني وصولا كاملا إلى محفظة UniPass ، مستغلا إجراء تجريد حساب Ethereum.
تجريد حساب ERC-4337 ، وفقا للموارد التقنية ل Ethereum ، هو تغيير في النظام في التعامل ومعالجة العقود الذكية على blockchain لتعزيز الكفاءة والقدرة على التكيف. تتضمن عمليات Ethereum القياسية نوعين من الحسابات: حسابات العقود والحسابات المملوكة خارجيا (EOAs). يمكن ل EOAs ، التي تنظمها المفاتيح الخاصة ، بدء المعاملات ، بينما تخضع حسابات العقود لرمز عقد ذكي. لذلك عندما تقوم EOA بإجراء معاملة إلى حساب عقد ، فإنها تبدأ تنفيذ الكود في العقد.
المفهوم الذي أدخله تجريد الحساب هو المعاملة الوصفية أو الحسابات المستخرجة المعممة. هذه الحسابات ، على عكس EOAs ، ليست مرتبطة بمفتاح خاص محدد ولكن يمكنها التحريض على المعاملات والتفاعل مع العقود الذكية. يوضح Fireblocks أنه عندما يتخذ حساب متوافق مع ERC-4337 إجراء ، فإنه يعتمد على عقد Entrypoint للتحقق من تنفيذ المعاملات الموقعة فقط. علاوة على ذلك ، تثق الحسابات عموما في عقد EntryPoint واحد مدقق لضمان حصوله على موافقة من الحساب قبل تنفيذ التعليمات.
سمحت الثغرة الأمنية المحددة للمتسلل باختطاف محافظ UniPass عن طريق استبدال نقطة الدخول الموثوقة للمحفظة. بعد الاستيلاء الناجح على الحساب ، يمكن للمهاجم الوصول إلى المحفظة واستنزاف أموالها المتاحة. كان عدة مئات من المستخدمين الذين تم تمكين وحدة ERC-4337 في محافظهم عرضة لهذا الهجوم المحتمل ، والذي يمكن أن يبدأه أي شخص على blockchain. لحسن الحظ ، تمت معالجة المشكلة في وقت مبكر ، ولم تحتوي المحافظ المتأثرة إلا على مبالغ صغيرة من الأموال.
بعد التأكد من إمكانية استغلال الثغرة الأمنية ، أجرى فريق بحث Fireblocks عملية "قبعة بيضاء" لإصلاح نقاط الضعف التي تم العثور عليها. وانطوى ذلك على استغلال فعلي للثغرة الأمنية، التي استرعي انتباه فريق UniPass إليها لحلها.
وقد سلط فيتاليك بوتيرين، المؤسس المشارك لشركة إيثريوم، الضوء سابقا على التعقيدات المرتبطة بالتتبع السريع لتنفيذ وظائف تجريد الحساب. وتشمل هذه الحاجة إلى اقتراح تحسين Ethereum (EIP) لتحويل EOAs إلى عقود ذكية ولضمان وظيفة البروتوكول على حلول الطبقة 2.
Published At
10/27/2023 8:56:00 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.