Fireblocks descobre e corrige vulnerabilidade de abstração da primeira conta no Ethereum
Summary:
A Fireblocks, uma empresa de infraestrutura de criptomoedas, descobriu e ajudou a resolver a primeira vulnerabilidade de abstração de conta no sistema da Ethereum, especificamente na abstração de conta ERC-4337 da carteira de contrato inteligente UniPass. A vulnerabilidade, que foi descoberta durante uma operação de hacking 'whitehat', poderia ter permitido aos hackers o controle completo das carteiras UniPass, ignorando o procedimento de abstração de conta do Ethereum. Várias centenas de usuários com módulos ERC-4337 ativados estavam em risco. A equipe de pesquisa da Fireblocks conseguiu explorar a vulnerabilidade em uma operação whitehat para corrigir o problema rapidamente. O cofundador da Ethereum, Vitalik Buterin, destacou anteriormente os desafios de promover o uso mais generalizado da funcionalidade de abstração de conta.
A Fireblocks, uma empresa especializada em infraestrutura de criptomoedas, descobriu e ajudou a corrigir o que é conhecido como a primeira vulnerabilidade de abstração de conta dentro do sistema da Ethereum. Em 26 de outubro, foi revelado que uma fraqueza foi encontrada na abstração da conta ERC-4337 da carteira de contrato inteligente UniPass. O problema foi identificado em centenas de carteiras de rede primária durante uma operação de hacking ético 'whitehat', e ambas as empresas colaboraram para resolver a vulnerabilidade.
A Fireblocks explicou que essa falha poderia ter permitido que um invasor em potencial assumisse o controle total da carteira UniPass, contornando o procedimento de abstração de conta do Ethereum. Conforme descrito no guia do desenvolvedor do Ethereum no ERC-4337, a abstração de conta modifica como as transações e contratos inteligentes são tratados pelo blockchain para oferecer mais versatilidade e eficácia.
Em transações Ethereum típicas, existem dois tipos de contas: contas de propriedade externa (EOAs) e contas de contrato. As chaves privadas gerenciam EOAs e habilitam transações, enquanto o código de contrato inteligente controla as contas de contrato. Quando um EOA realiza uma transação com uma conta de contrato, ele ativa o código do contrato.
A abstração de conta introduz metatransações ou contas abstratas mais amplas, que não estão vinculadas a uma chave privada específica, mas podem instigar transações e colaborar com contratos inteligentes como um EOA.
A Fireblocks explica que, quando uma conta que está em conformidade com o ERC-4337 executa uma ação, ela usa o contrato Entrypoint para garantir que apenas transações assinadas sejam realizadas. Essas contas geralmente confiam em um único contrato EntryPoint auditado para verificar se ele tem permissão de conta antes de executar uma instrução. Mas, em teoria, um EntryPoint defeituoso ou prejudicial pode ignorar a chamada "validateUserOp" e invocar a função de execução diretamente.
Fireblocks explica que essa vulnerabilidade pode ter permitido que um invasor assumisse o controle de carteiras UniPass substituindo seu EntryPoint confiável. Após essa aquisição, o infiltrado poderia drenar os fundos da carteira. Várias centenas de usuários que ativaram o módulo ERC-4337 em suas carteiras estavam suscetíveis a esse ataque que poderia ser instigado por qualquer pessoa no blockchain. As carteiras comprometidas continham apenas pequenas quantias, e o problema foi resolvido relativamente rapidamente.
Uma vez estabelecido que a vulnerabilidade poderia ser manipulada, a unidade de pesquisa da Fireblocks executou com sucesso uma operação whitehat para corrigir as falhas existentes. Ele explorou a vulnerabilidade: "Sugerimos essa ideia à equipe da UniPass, que assumiu a responsabilidade de realizar a operação whitehat."
O cofundador da Ethereum, Vitalik Buterin, apontou anteriormente os desafios para acelerar a adoção generalizada da funcionalidade de abstração de conta. Esses desafios incluem a exigência de uma Proposta de Melhoria Ethereum (EIP) para transformar EOAs em contratos inteligentes e garantir que o protocolo funcione em soluções de camada 2.
Published At
10/27/2023 8:56:19 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.