Fireblocks,Unipass Wallet处理以太坊ERC-4337帐户抽象漏洞
加雷斯·詹金森(Gareth Jenkinson)11小时前Fireblocks,Unipass Wallet铲球以太坊ERC-4337帐户抽象脆弱性Fireblocks帮助智能合同钱包单质量,以寻求ERC-4337帐户abst
加雷斯·詹金森(Gareth Jenkinson)11小时前Fireblocks,Unipass Wallet铲球以太坊ERC-4337帐户抽象脆弱性
Fireblocks协助智能合同钱包单次填充ERC-4337帐户抽象漏洞。
1077总看法31总股票收听第0:00新闻加入我们的社交网络
加密货币基础设施企业Fireblocks已确定并协助应对以太坊生态系统中第一个帐户抽象脆弱性所描述的内容。
10月26日的公告打开了智能合同钱包中的ERC-4337帐户抽象漏洞的发现。两家公司共同解决了该漏洞,据报道,在白帽子黑客行动中,数百个主网钱包中发现了这一漏洞。
根据Fireblocks的说法,该漏洞将使潜在的攻击者能够通过操纵以太坊的帐户抽象过程来全面收购Unipass钱包。
根据以太坊在ERC-4337上的开发人员文档,帐户抽象允许区块链处理交易和智能合约的方式,以提供灵活性和效率。
相关:帐户抽象将使十亿用户从亚洲驱动到Web3:Consensys Exec
常规的以太坊交易涉及两种类型的帐户:外部账户(EOA)和合同帐户。EOA由私钥控制,可以启动交易,而合同帐户则由智能合约的代码控制。当EOA将交易发送到合同帐户时,它会触发合同守则的执行。
帐户抽象介绍了元交易或更概括的抽象帐户的想法。摘要的帐户与特定的私钥无关,并且能够启动交易并与智能合约互动,就像EOA一样。正如Fireblocks解释的那样,当ERC-4337兼容帐户执行诉讼时,它依靠入门点合同来确保仅执行签名的交易。这些帐户通常会信任经审核的单个入口处合同,以确保在执行命令之前从帐户中获得许可:
“重要的是要注意,从理论上讲,恶意或错误的入口点可以跳过“ validateUserop”的呼叫,然后直接调用执行函数,因为它唯一的限制就是从可信赖的入口点调用。”
根据Fireblocks的说法,脆弱性使攻击者可以通过更换可信赖的钱包的入口点来控制Unipass钱包。帐户收购完成后,攻击者将能够访问钱包并耗尽其资金。
在钱包中激活ERC-4337模块的数百用户很容易受到攻击,任何演员都可以在区块链上执行。相关的钱包只持有少量资金,并且在早期阶段已经缓解了问题。
确定可以利用漏洞的漏洞后,FireBlocks的研究团队设法进行了白帽操作,以修补现有的漏洞。这实际上涉及利用脆弱性:
“我们与Unipass团队分享了这个想法,后者将自己实施并运行Whitehat行动。”
以太坊联合创始人Vitalik Buterin先前概述了加快帐户抽象功能的增殖方面的挑战,其中包括需要以太坊改进建议(EIP)将EOA升级到智能合约中,并确保该协议在层 – 2重新制作:区块链创新还是危险的纸牌屋?
原创文章,作者:大天,如若转载,请注明出处:https://www.53moban.com/11994.html
