Fireblocks与UniPass Wallet共同解决以太坊ERC-4337账户抽象漏洞

Fireblocks和UniPass Wallet联手解决以太坊ERC-4337账户抽象漏洞问题

加密货币基础设施公司Fireblocks已经发现并协助解决了以太坊生态系统内第一个账户抽象漏洞。

10月26日的一则公告解释了ERC-4337账户抽象漏洞在智能合约钱包UniPass中的发现。两家公司合作解决了这个漏洞，据报道，在一次白帽黑客攻击行动中发现了数百个主网钱包存在该漏洞。

据Fireblocks称，这个漏洞将允许潜在攻击者通过操纵以太坊的账户抽象过程，完全接管UniPass钱包。

根据以太坊开发者关于ERC-4337的文档，账户抽象允许区块链在交易和智能合约处理方面进行灵活高效的转变。

• NuggetRush, Axie Infinity和Decentraland正在改变玩赚模式
• 为什么SCORP现在比MATIC和ADA更好的投资选择？
• 权益证明网络：权益收益率创历史新低，你值得一笑

相关：账户抽象将把十亿亚洲用户推向Web3：Consensys高管

传统的以太坊交易涉及两种类型的账户：外部拥有的账户（EOA）和合约账户。EOA由私钥控制，可以发起交易，而合约账户由智能合约的代码控制。当EOA向合约账户发送交易时，会触发合约代码的执行。

账户抽象引入了元交易或通用的抽象账户的概念。抽象账户不与特定的私钥相关联，并且能够像EOA一样发起交易并与智能合约进行交互。

正如Fireblocks所解释的那样，当符合ERC-4337的账户执行操作时，它依赖于入口合约来确保只有已签名的交易才会被执行。这些账户通常信任一个经过审计的入口合约，在执行命令之前确保它从账户中获取了权限：

“需要注意的是，一个恶意或有缺陷的入口合约理论上可以跳过”validateUserOp”的调用，直接调用执行函数，它唯一的限制是调用来源必须是信任的入口。”

根据Fireblocks的说法，这个漏洞允许攻击者通过替换钱包的信任入口点来获取UniPass钱包的控制权。一旦接管账户完成，攻击者就能够访问钱包并提取其资金。

在ERC-4337模块在他们的钱包中激活的几百个用户容易受到这种攻击，任何参与区块链的人都可以执行这种攻击。受影响的钱包中只保存了少量资金，并且这个问题在早期就得到了缓解。

Fireblocks的研究团队确定了漏洞的可利用性，成功进行了一次白帽操作来修复现有的漏洞。这实际上涉及利用这个漏洞：

“我们将这个想法与UniPass团队共享，他们自己负责实施和运行了白帽操作。”

以太坊联合创始人Vitalik Buterin 先前阐述了加速账户抽象功能普及的挑战，其中包括将EOA升级为智能合约并确保协议在第二层解决方案上工作需要一个以太坊改进提案（EIP）。

杂志：以太坊重新押注：区块链创新还是危险的东西？

We will continue to update 算娘; if you have any questions or suggestions, please contact us!