[Fireblocks:智能合约钱包UniPass中发现ERC-4337帐户抽象漏洞]金色财经报道,Fireblocks研究团队最近在智能合约钱包UniPass中发现了一个ERC-4337帐户抽象漏洞。该漏洞允许攻击者对UniPass钱包进行完全帐户接管,通过替换钱包的可信入口点来激活帐户抽象模块。一旦帐户接管完成,攻击者就可以将钱包视为自己的钱包并耗尽其中的所有资金。钱包中激活了ERC-4337模块的数百名用户很容易受到这种攻击,区块链上的任何人都可以执行这种攻击。
该漏洞由3个不同的问题组成,这些问题无法单独利用,但组合起来后,可被利用以获得对钱包的所有者级访问权限。
1. 第一个问题是validateSignature 函数对于空签名返回“success=true”:
2. 第二个问题与计算调用合约本身的特权函数需要多少角色权重有关。
3. 第三个问题实际上并不是智能合约代码的问题;这是模块安装时的问题。当使用钱包的接口启用ERC-4337模块时,链上会调用addHook 4次来添加其功能。
在确认收到初始披露后的24小时内,UniPass团队立即成功执行了白帽操作,修补了所有易受攻击的钱包,并添加了缺失的“addPermission”调用,以便将来启用ERC-4337模块。
其它快讯:
Polygon宣布与加密托管技术Fireblocks、代币化解決方案Tokenys正式合作:8月30日消息,Polygon宣布与加密托管技术Fireblocks、代币化解決方案TokenySolutions正式达成合作关系,将共同使用Polygon的ERC3643以提供企业级代币化解決方案。并表示数字证券、稳定币等机构可以依靠Fireblocks和Tokenys作为技术支持,以确保合规性、安全性和可控性。[8/31/2022 8:11:58 PM]
Checkout与Fireblocks合作为商家推出使用USDC的全天候结算付款服务:6月7日消息,英国支付公司Checkout与Fireblocks合作使用USDC为商家推出全天候的结算付款服务。Checkout表示已与特定客户私下测试该功能,在过去几个月促成3亿美元的交易量。Checkout现计划在全球范围内推出该产品。[6/7/2022 11:32:34 AM]
数字资产托管平台Fireblocks新增对Solana的支持:金色财经报道,机构加密托管平台Fireblocks增加了对Solana原生代币SOL的支持。此举意味着Fireblocks的800多家机构客户现在将能够向该公司发送、接收、保管或抵押SOL。Fireblocks首席执行官MichaelShaulov说:“Fireblocks的客户非常期待对原生Solana代币的支持,在宣布支持SOL的第一个周末,我们看到将近25%的Solana交易量发生在Fireblocks平台上”。Fireblocks目前支持超过1000个代币和30个区块链,该公司还计划在今年第一季度末之前支持基于Solana的其他代币,这种支持将帮助Fireblocks的客户访问去中心化金融。(TheBlock)[1/21/2022 11:54:12 PM]
郑重声明: Fireblocks:智能合约钱包UniPass中发现ERC-4337帐户抽象漏洞版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。