Fireblock、UniPass Wallet解决Etherum ERC-4337帐户抽象漏洞

爱可咖啡 • 2023年 10月 27日 pm7:00 • 资讯

加密货币基础设施公司Fireblock已经确定并协助解决了它所说的以太生态系统中的第一个帐户抽象漏洞。

10月26日的一份声明解压了在智能合同钱包UniPass中发现的ERC-4337帐户抽象漏洞。两家公司合作解决了这个漏洞，据报道，在一次“白帽”黑客行动中，在数百个主机钱包中发现了这个漏洞。

根据Fireblock的说法，该漏洞将允许潜在攻击者通过操纵Etherum的帐户抽象过程来完全接管UniPass Wallet。

根据Etherum在ERC-4337上的开发人员文档，帐户抽象允许区块链处理交易和智能合同的方式发生变化，以提供灵活性和效率。

相关：帐户抽象将推动亚洲的10亿用户进入Web3：Consensys exec

传统的以太交易涉及两种类型的账户，即外部所有账户(EOA)和合同账户。EOA由私钥控制，可以发起交易，而合同账户由智能合同的代码控制。当EOA将交易发送到合同帐户时，它会触发合同代码的执行。

帐户抽象引入了元事务或更广义的抽象帐户的概念。抽象账户不与特定的私钥绑定，并且能够像EOA一样启动交易并与智能合约交互。

正如Fireblock解释的那样，当符合ERC-4337的帐户执行操作时，它依赖入口点约定来确保只执行已签署的事务。这些帐户通常信任经过审核的单一入口点合同，以确保在执行命令之前从帐户获得许可：

需要注意的是，从理论上讲，恶意或有错误的入口点可以跳过对“validateUserOp”的调用，而直接调用执行函数，因为它的唯一限制是它只能从受信任的入口点调用。

Fireblock称，该漏洞允许攻击者通过替换UniPass Wallet的可信入口点来控制该Wallet。一旦账户接管完成，攻击者将能够访问钱包并榨取其资金。

钱包中激活了ERC-4337模块的数百名用户容易受到攻击，区块链上的任何参与者都可以执行攻击。有问题的钱包只持有少量资金，这个问题在早期阶段已经得到缓解。

在确定该漏洞可以被利用后，Fireblock的研究团队设法执行了一项白帽操作，以修补现有的漏洞。这实际上涉及到利用该漏洞：

我们与UniPass团队分享了这个想法，他们自己实施和运行了白帽操作。

Etherum联合创始人Vitalik Buterin之前概述了加快账户抽象功能激增的挑战，其中包括需要以太改进建议(EIP)将EoA升级为智能合同，并确保协议在第2层解决方案上工作。

杂志：以太重注：区块链创新还是危险的纸牌屋？

FORM：cryptonews

联系邮箱：idea2003@foxmail.com