Fireblocks допомагає UniPass усунути вразливість абстракції облікового запису Ethereum ERC-4337

Компанія Fireblocks, розробник криптовалютної інфраструктури, виявила і допомогла усунути першу вразливість в екосистемі Ethereum, пов’язану з абстракцією облікового запису.

Вразливість ERC-4337, пов’язана з абстракцією облікового запису, була виявлена в гаманці смартконтрактів UniPass. Дві фірми працювали разом над усуненням вразливості, яка, як повідомляється, була виявлена в сотнях гаманців в мейннеті під час хакерської операції «білих хакерів».

Вразливість дозволяла б потенційному зловмиснику здійснити повне захоплення гаманця UniPass, маніпулюючи процесом абстрагування облікового запису в Ethereum.

Абстрагування облікового запису вводить ідею метатранзакції або більш узагальнених абстрактних облікових записів. Абстрактні акаунти не прив’язані до конкретного приватного ключа і можуть ініціювати транзакції та взаємодіяти зі смартконтрактами так само як і EOA.

За словами Fireblocks, вразливість дозволяла зловмиснику отримати контроль над гаманцями UniPass, замінивши довірену точку входу гаманця. Після захоплення облікового запису зловмисник отримував доступ до гаманця і міг зняти з нього кошти.

Кілька сотень користувачів, які мали активований модуль ERC-4337 у своїх гаманцях, були вразливі до атаки, яку міг здійснити будь-який учасник блокчейну. Ці гаманці містили лише невеликі суми коштів, тому проблема була вирішена на ранній стадії.

Fireblocks провела операцію «білих хакерів», щоб виправити наявні вразливості. Це передбачало фактичну експлуатацію вразливості, щоб продемонструвати її існування і показати, як вона може бути використана.

Співзасновник Ethereum Віталік Бутерін раніше окреслив проблеми, пов’язані з прискоренням поширення функціональності абстракції облікових записів, серед яких — необхідність розробки пропозиції щодо вдосконалення Ethereum (EIP) для перетворення EOA в смартконтракти та забезпечення роботи протоколу на рішеннях другого рівня.