Fireblock、UniPass Wallet解決Etherum ERC-4337帳戶抽象漏洞

加密貨幣基礎設施公司Fireblock已經確定並協助解決了它所說的以太生態系統中的第一個帳戶抽象漏洞。

10月26日的一份聲明解壓了在智慧合同錢包UniPass中發現的ERC-4337帳戶抽象漏洞。兩家公司合作解決了這個漏洞，據報道，在一次“白帽”黑客行動中，在數百個主機錢包中發現了這個漏洞。

根據Fireblock的說法，該漏洞將允許潛在攻擊者通過操縱Etherum的帳戶抽象過程來完全接管UniPass Wallet。

根據Etherum在ERC-4337上的開發人員文檔，帳戶抽象允許區塊鏈處理交易和智慧合同的方式發生變化，以提供靈活性和效率。

相關：帳戶抽象將推動亞洲的10億用戶進入Web3：Consensys exec

傳統的以太交易涉及兩種類型的賬戶，即外部所有賬戶(EOA)和合同賬戶。EOA由私鑰控制，可以發起交易，而合同賬戶由智慧合同的代碼控制。當EOA將交易發送到合同帳戶時，它會觸發合同代碼的執行。

帳戶抽象引入了元事務或更廣義的抽象帳戶的概念。抽象帳戶不與特定的私鑰綁定，並且能夠像EOA一樣啟動交易並與智能合約交互。

正如Fireblocks所解釋的那樣，當符合ERC-4337的帳戶執行操作時，它依賴於Entrypoint合約來確保僅執行已簽名的交易。這些帳戶通常信任經過審計的單個EntryPoint合約，以確保它在執行命令之前獲得帳戶的權限：

需要注意的是，從理論上講，惡意或有錯誤的入口點可以跳過對“validateUserOp”的調用，而直接調用執行函數，因為它的唯一限制是它只能從受信任的入口點調用。

Fireblock稱，該漏洞允許攻擊者通過替換UniPass Wallet的可信入口點來控制該Wallet。一旦賬戶接管完成，攻擊者將能夠訪問錢包並榨取其資金。

錢包中激活了ERC-4337模塊的數百名用戶容易受到攻擊，區塊鏈上的任何參與者都可以執行攻擊。有問題的錢包只持有少量資金，這個問題在早期階段已經得到緩解。

在確定該漏洞可以被利用後，Fireblock的研究團隊設法執行了一項白帽操作，以修補現有的漏洞。這實際上涉及到利用該漏洞：

我們與UniPass團隊分享了這個想法，他們自己實施和運行了白帽操作。

Etherum聯合創始人Vitalik Buterin之前概述了加快賬戶抽象功能激增的挑戰，其中包括需要以太改進建議(EIP)將EoA升級為智慧合同，並確保協定在第2層解決方案上工作。

雜誌：以太重注：區塊鏈創新還是危險的紙牌屋？

聯系郵箱：0xniumao@gmail.com