[ad_1]
La società di infrastrutture di criptovaluta Fireblocks ha identificato e aiutato ad affrontare quella che descrive come la prima vulnerabilità di astrazione dell’account all’interno dell’ecosistema Ethereum.
Un annuncio del 26 ottobre ha svelato la scoperta di una vulnerabilità di astrazione dell’account ERC-4337 nel portafoglio di contratti intelligenti UniPass. Le due aziende hanno lavorato insieme per risolvere la vulnerabilità, che secondo quanto riferito è stata trovata in centinaia di portafogli mainnet durante un’operazione di hacking white hat.
Secondo Fireblocks, la vulnerabilità consentirebbe a un potenziale utente malintenzionato di effettuare un furto completo dell’account del portafoglio UniPass manipolando il processo di astrazione dell’account di Ethereum.
Secondo la documentazione degli sviluppatori di Ethereum su ERC-4337, l’astrazione dell’account consente un cambiamento nel modo in cui le transazioni e i contratti intelligenti vengono elaborati dalla blockchain per fornire flessibilità ed efficienza.
Correlato: L’astrazione dell’account porterà un miliardo di utenti dall’Asia al Web3: dirigente di Consensys
Le transazioni convenzionali di Ethereum coinvolgono due tipi di conti: conti di proprietà esterna (EOA) e conti contrattuali. Gli EOA sono controllati da chiavi private e possono avviare transazioni, mentre i conti contrattuali sono controllati dal codice di un contratto intelligente. Quando un EOA invia una transazione a un conto contrattuale, attiva l’esecuzione del codice del contratto.
L’astrazione del conto introduce l’idea di una meta-transazione o di conti astratti più generalizzati. Gli account astratti non sono legati a una chiave privata specifica e sono in grado di avviare transazioni e interagire con contratti intelligenti, proprio come un EOA.
Come spiega Fireblocks, quando un account conforme a ERC-4337 esegue un’azione, si affida al contratto Entrypoint per garantire che vengano eseguite solo le transazioni firmate. Questi account in genere si affidano a un singolo contratto EntryPoint controllato per garantire che riceva l’autorizzazione dall’account prima di eseguire un comando:
“È importante notare che un entrypoint dannoso o pieno di bug potrebbe, in teoria, saltare la chiamata a “validateUserOp” e chiamare direttamente la funzione di esecuzione, poiché l’unica restrizione è che viene chiamato dall’EntryPoint attendibile.”
Secondo Fireblocks, la vulnerabilità ha consentito a un utente malintenzionato di ottenere il controllo dei portafogli UniPass sostituendo l’EntryPoint affidabile del portafoglio. Una volta completata la presa del conto, un utente malintenzionato sarebbe in grado di accedere al portafoglio e prosciugarne i fondi.
Diverse centinaia di utenti che avevano attivato il modulo ERC-4337 nei loro portafogli erano vulnerabili all’attacco, che poteva essere eseguito da qualsiasi attore sulla blockchain. I portafogli in questione contenevano solo piccole quantità di fondi e il problema è stato mitigato in una fase iniziale.
Avendo accertato che la vulnerabilità poteva essere sfruttata, il team di ricerca di Fireblocks è riuscito a effettuare un’operazione white hat per correggere le vulnerabilità esistenti. Ciò ha comportato effettivamente lo sfruttamento della vulnerabilità:
“Abbiamo condiviso questa idea con il team UniPass, che si è preso la responsabilità di implementare e gestire l’operazione whitehat.”
Il co-fondatore di Ethereum Vitalik Buterin ha già delineato le sfide per accelerare la proliferazione delle funzionalità di astrazione degli account, che includono la necessità di una proposta di miglioramento di Ethereum (EIP) per aggiornare gli EOA in contratti intelligenti e garantire che il protocollo funzioni su soluzioni di livello 2.
Rivista: Restaking di Ethereum: innovazione Blockchain o pericoloso castello di carte?
[ad_2]
Source link
