加密货币基础设施公司Fireblocks发现并帮助解决了以太坊生态系统中的第一个帐户抽象漏洞。
10月26日发布的公告披露了在智能合约钱包UniPass中发现的ERC-4337账户的抽象漏洞。两家公司合作解决了该漏洞,据报道,该漏洞是在一次白帽黑客攻击中在数百个主要网络钱包中发现的。
据Fireblocks称,该漏洞将允许潜在攻击者通过操纵以太坊的账户抽象过程来完全接管UniPass钱包。
根据以太坊在ERC-4337上的开发者文档,账户抽象允许改变区块链处理交易和智能合约的方式,以提供灵活性和效率。
传统以太坊交易涉及两种类型的账户:外部账户(EOA)和合约账户。EOA由私钥控制,可以发起交易,而合约账户由智能合约的代码控制。当EOA向合同账户发送交易时,将触发合同代码的执行。
帐户抽象引入了元事务或更广义的抽象帐户的概念。抽象账户不绑定到特定的私钥,可以发起交易并与智能合约交互,就像EOA一样。
正如Fireblocks所解释的,当符合ERC-4337的帐户执行操作时,它依赖入口点契约来确保只执行已签名的事务。这些帐户通常信任单个EntryPoint契约,该契约已经过审核,以确保在执行命令之前从该帐户获得权限:
值得注意的是,从理论上讲,恶意或错误的入口点可以跳过对“validateUserOp”的调用,直接调用执行函数,因为它唯一的限制是从可信入口点调用。
据Fireblocks称,该漏洞允许攻击者通过替换钱包的可信入口点来获得对UniPass钱包的控制。一旦帐户接管完成,攻击者就可以访问钱包并用完其中的资金。
数百名激活了钱包中ERC-4337模块的用户容易受到攻击,区块链的任何参与者都可以实施这种攻击。相关的钱包只装少量的钱,前期已经缓解了这个问题。
在确定该漏洞可能被利用后,Fireblocks的研究团队设法执行了白帽操作来修复现有的漏洞。这实际上是利用了这个漏洞:
我们与UniPass团队分享了这个想法,他们自己负责实施和运行白帽操作。
以太坊的联合创始人Vitalik Buterin此前概述了加速账户抽象功能传播的挑战,包括以太坊改进提案(EIP)需要将EOA升级为智能合约,并确保协议适用于二级解决方案。
温馨提示:注:内容来源均采集于互联网,不要轻信任何,后果自负,本站不承担任何责任。若本站收录的信息无意侵犯了贵司版权,请给我们来信,我们会及时处理和回复。
原文地址"以太坊out of memory,以太坊api接口":http://www.ljycsb.cn/qukuailian/206988.html。
微信扫描二维码投放广告
▲长按图片识别二维码
