[Fireblocks:智能合约钱包UniPass中发现ERC-4337帐户抽象漏洞]金色财经报道,Fireblocks研究团队最近在智能合约钱包UniPass中发现了一个ERC-4337帐户抽象漏洞。该漏洞允许攻击者对UniPass钱包进行完全帐户接管,通过替换钱包的可信入口点来激活帐户抽象模块。一旦帐户接管完成,攻击者就可以将钱包视为自己的钱包并耗尽其中的所有资金。钱包中激活了ERC-4337模块的数百名用户很容易受到这种攻击,区块链上的任何人都可以执行这种攻击。
该漏洞由3个不同的问题组成,这些问题无法单独利用,但组合起来后,可被利用以获得对钱包的所有者级访问权限。
1. 第一个问题是validateSignature 函数对于空签名返回“success=true”:
2. 第二个问题与计算调用合约本身的特权函数需要多少角色权重有关。
3. 第三个问题实际上并不是智能合约代码的问题;这是模块安装时的问题。当使用钱包的接口启用ERC-4337模块时,链上会调用addHook 4次来添加其功能。
在确认收到初始披露后的24小时内,UniPass团队立即成功执行了白帽操作,修补了所有易受攻击的钱包,并添加了缺失的“addPermission”调用,以便将来启用ERC-4337模块。
其它快讯:
加密货币托管机构Fireblocks新增对NEAR上DeFi应用的支持:金色财经报道,加密货币托管机构Fireblocks宣布通过Web3引擎新增对NEAR上DeFi应用的支持,Fireblocks用户可以通过任何基于NEAR构建的WalletConnect集成Web3应用来访问Meta Yield、Burrow和Ref.Finance等DeFi服务。据此前消息,Fireblocks于8月底新增对Solana上DeFi、NFT等应用的支持。(crowdfundinginsider)[2022/9/22 10:53:39]
Firebird Finance Swap V2版本已上线高性能公链IoTeX:11月16日消息,DeFi项目Firebird Finance已在高性能公链IoTeX上上线SwapV2版本。Firebird Swap V2是一个多链自动做市商(AMM)的DEX聚合器,能为不同通证创建和运行可公开获取的链上流动性,允许用户在多个DEX中以最佳费率交换任何通证。
Firebird Finance现已同时支持Avalanche,IoTeX,Fantom和Solana四条新公链。 IoTeX作为硅谷开源项目成立于2017年,以链接现实世界和数字世界为发展目标,是与以太坊全兼容的高性能公有区块链。[2021/11/16 23:11:25]
Fireblocks回应StakeHound指控:资金丢失系StakeHound未按要求备份密钥所致:机构级安全公司Fireblocks对此前加密货币公司StakeHound对其因失误导致价值7500万美元以太坊丢失的事件进行了回应,Fireblocks表示,以太坊丢失系StakeHound未按照要求使用第三方容灾服务备份BLS密钥所致,而该要求在双方签订协议时已通过书面传达。目前Fireblocks已停止向该丢失密钥的地址发送以太坊,并尝试恢复密钥,此后将会推出一个以太坊2.0解决方案来全面解决该类事件。[2021/6/24 17:26:32]
郑重声明: Fireblocks:智能合约钱包UniPass中发现ERC-4337帐户抽象漏洞版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。