Fireblocks 识别并修复以太坊账户抽象系统中的第一个漏洞
Summary:
加密货币基础设施公司 Fireblocks 成功识别并纠正了以太坊平台中的 ERC-4337 账户抽象漏洞,该漏洞存在于 UniPass 的智能合约钱包中。该漏洞可能允许网络攻击者通过操纵以太坊的帐户抽象过程来接管 UniPass 钱包。这个问题得到了及时缓解,并通过以太坊和UniPass团队的分析促使人们防止未来发生任何类似事件。
Fireblocks 是一家专门从事加密货币技术的公司,它发现并帮助修复了以太坊基础设施中的一个重大漏洞,即有史以来第一个账户抽象故障。10 月 26 日,UniPass 和 Fireblocks 在 UniPass 的智能合约钱包中发现了一个 ERC-4337 账户抽象漏洞。在旨在提高安全性的主动黑客行动中,在许多主网钱包中检测到该漏洞。Fireblocks 透露,已识别的漏洞可能会让网络攻击者利用以太坊的帐户抽象程序完全访问 UniPass 钱包。
ERC-4337账户抽象,根据以太坊的技术资源,是在区块链上交易和处理智能合约的系统变化,以提高效率和适应性。标准的以太坊操作涉及两种账户类型:合约账户和外部拥有的账户(EOA)。EOA由私钥监管,可以发起交易,而合约账户则由智能合约代码管理。因此,当EOA向合约账户进行交易时,它会启动合约中的代码执行。
账户抽象引入的概念是元交易或广义抽象账户。与EOA不同,这些账户不附加到特定的私钥,但可以发起交易并与智能合约进行交互。Fireblocks 阐明,当符合 ERC-4337 的帐户执行操作时,它依赖于 Entrypoint 合约来验证是否只执行已签名的交易。此外,账户通常信任单个经过审计的 EntryPoint 合约,以确保它在执行指令之前获得账户的同意。
已识别的漏洞允许入侵者通过替换钱包的受信任 EntryPoint 来劫持 UniPass 钱包。成功接管账户后,攻击者可以访问钱包并耗尽其可用资金。数百名在钱包中启用了 ERC-4337 模块的用户容易受到这种潜在攻击,这种攻击可能由区块链上的任何人发起。幸运的是,这个问题很早就得到了解决,受影响的钱包只包含少量资金。
在确认该漏洞的可利用性后,Fireblocks的研究团队进行了“白帽”操作,以修复发现的漏洞。这涉及对漏洞的实际利用,然后提请 UniPass 团队注意以解决。
以太坊的联合创始人 Vitalik Buterin 此前曾强调过与快速跟踪账户抽象功能实现相关的复杂性。其中包括需要以太坊改进提案 (EIP) 将 EOA 转换为智能合约,并确保协议在第 2 层解决方案上的功能。
Published At
10/27/2023 8:56:00 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.