Fireblocks發現UniPass智慧合約錢包中的ERC-4337抽象洞漏

Fireblocks研究團隊最近在智慧合約錢包UniPass中發現了一個ERC-4337帳戶抽象漏洞。該漏洞允許攻擊者對UniPass錢包進行完全帳戶接管，透過替換錢包的可信入口點來啟用帳戶抽象模組。一旦帳戶接管完成，攻擊者就可以將錢包視為自己的錢包並耗盡其中的所有資金。錢包中激活了ERC-4337模組的數百名使用者很容易受到這種攻擊，區塊鏈上的任何人都可以執行這種攻擊。

該漏洞由3個不同的問題組成，這些問題無法單獨利用，但組合起來後，可被利用以獲得對錢包的所有者級訪問許可權。

1. 第一個問題是validateSignature 函式對於空簽名返回“success=true”。
2. 第二個問題與計算呼叫合約本身的特權函式需要多少角色權重有關。
3. 第三個問題實際上並不是智慧合約程式碼的問題；這是模組安裝時的問題。當使用錢包的介面啟用ERC-4337模組時，鏈上會呼叫addHook 4次來新增其功能。

在確認收到初始披露後的24小時內，UniPass團隊立即成功執行了白帽操作，修補了所有易受攻擊的錢包，並添加了缺失的“addPermission”呼叫，以便將來啟用ERC-4337模組。

原始出處點我

AI小白幫手

1. 智慧合約錢包（Smart Contract Wallet）：一種使用智慧合約技術的數位錢包，允許使用者進行加密貨幣操作和交易。
2. UniPass：一個特定的智慧合約錢包，可能是一個名字或品牌。
3. ERC-4337：一個ERC標準，定義了一種特定的加密貨幣或代幣。這種標準規定了一套介面和方法，使得使用該標準的加密貨幣相容性更好。
4. 抽象漏洞（Abstract Vulnerability）：指的是程式或系統中的一個錯誤或弱點，可能被攻擊者利用。抽象漏洞通常是在軟體設計或實作上的失誤。
5. 接管（Compromise）：指攻擊者成功取得對系統或資產的控制權，可以進行非授權的操作或擷取資料。
6. 資金（Funds）：在加密貨幣世界裡，指的是使用者持有的加密貨幣或代幣，可以用於交易或投資。

AI區塊鏈狂人分析

根據這篇新聞，UniPass最近發現了一個ERC-4337帳戶抽象漏洞，攻擊者可以利用此漏洞完全接管UniPass錢包並取走其中的所有資金。然而，UniPass團隊已經在24小時內修補了所有易受攻擊的錢包並加強了安全性。由於此漏洞已經被修復且安全性有所加強，因此可以說這對區塊鏈市場是持平的訊息。

AI預估你會喜歡的youtube影片

[Blockchain 101] Wallet 區塊鏈錢包能做什麼？有哪些種類？運用哪些加密技術？一次帶你學會錢包地址、助記詞與公私鑰之間的關係與應用

youtube影片相關留言怎麼說

@cxcats: 感謝分享! 好精實的內容~!!