Fireblocks identifica e corregge la prima vulnerabilità in assoluto nel sistema di astrazione degli account di Ethereum
Summary:
Fireblocks, una società di infrastrutture di criptovaluta, ha identificato e corretto con successo una vulnerabilità di astrazione dell'account ERC-4337 all'interno della piattaforma di Ethereum, trovata nel portafoglio di smart contract di UniPass. La vulnerabilità avrebbe potuto consentire a un utente malintenzionato informatico di prendere il controllo del portafoglio UniPass manipolando il processo di astrazione dell'account di Ethereum. Questo problema è stato prontamente mitigato e ha richiesto l'analisi sia del team di Ethereum che di UniPass per prevenire futuri incidenti simili.
Fireblocks, una società specializzata in tecnologia di criptovaluta, ha trovato e contribuito a correggere una vulnerabilità significativa all'interno dell'infrastruttura di Ethereum, nota come il primo problema tecnico di astrazione dell'account in assoluto. Il 26 ottobre, è stato scoperto un difetto di astrazione dell'account ERC-4337 nel portafoglio di smart contract di UniPass grazie a uno sforzo congiunto tra UniPass e Fireblocks. Durante un'operazione di hacking proattivo volta a migliorare la sicurezza, la vulnerabilità è stata rilevata in numerosi wallet mainnet. Fireblocks ha rivelato che la vulnerabilità identificata potrebbe potenzialmente fornire a un utente malintenzionato l'accesso completo all'UniPass Wallet, sfruttando la procedura di astrazione dell'account di Ethereum.
L'astrazione dell'account ERC-4337, secondo le risorse tecniche di Ethereum, è un cambiamento di sistema nella transazione e nell'elaborazione di contratti intelligenti sulla blockchain per migliorare l'efficienza e l'adattabilità. Le operazioni standard di Ethereum coinvolgono due tipi di account: account a contratto e account di proprietà esterna (EOA). Gli EOA, regolati da chiavi private, possono avviare transazioni, mentre gli account dei contratti sono regolati da un codice di smart contract. Pertanto, quando un EOA effettua una transazione su un conto del contratto, avvia l'esecuzione del codice nel contratto.
Il concetto introdotto dall'astrazione dei conti è quello delle meta-transazioni o dei conti astratti generalizzati. Questi account, a differenza degli EOA, non sono collegati a una chiave privata specifica, ma possono avviare transazioni e interagire con gli smart contract. Fireblocks chiarisce che quando un account conforme a ERC-4337 esegue un'azione, dipende dal contratto Entrypoint per convalidare che vengano eseguite solo le transazioni firmate. Inoltre, gli account in genere considerano attendibile un singolo contratto EntryPoint verificato per garantire che riceva il consenso dall'account prima di eseguire un'istruzione.
La vulnerabilità identificata ha permesso a un intruso di dirottare i portafogli UniPass sostituendo l'affidabile EntryPoint del portafoglio. Dopo l'acquisizione dell'account, l'aggressore potrebbe accedere al portafoglio ed esaurire i fondi disponibili. Diverse centinaia di utenti che avevano il modulo ERC-4337 abilitato nei loro portafogli erano suscettibili a questo potenziale attacco, che poteva essere avviato da chiunque sulla blockchain. Fortunatamente, il problema è stato affrontato fin dall'inizio e i portafogli interessati contenevano solo piccoli importi di fondi.
Dopo aver confermato la sfruttabilità della vulnerabilità, il team di ricerca di Fireblocks ha condotto un'operazione "white hat" per correggere le vulnerabilità riscontrate. Ciò ha comportato un effettivo sfruttamento della vulnerabilità, che è stata poi portata all'attenzione del team di UniPass per la risoluzione.
Vitalik Buterin, co-fondatore di Ethereum, ha precedentemente evidenziato le complessità associate all'accelerazione dell'implementazione delle funzionalità di astrazione dell'account. Tra queste, la necessità di una Ethereum Improvement Proposal (EIP) per trasformare gli EOA in smart contract e per garantire il funzionamento del protocollo su soluzioni layer-2.
Published At
10/27/2023 8:56:00 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.