Fireblocks：智能合約錢包UniPass中發現ERC-4337帳戶抽象漏洞

金色財經報道，Fireblocks研究團隊最近在智能合約錢包UniPass中發現了一個ERC-4337帳戶抽象漏洞。該漏洞允許攻擊者對UniPass錢包進行完全帳戶接管，通過替換錢包的可信入口點來激活帳戶抽象模塊。一旦帳戶接管完成，攻擊者就可以將錢包視為自己的錢包并耗盡其中的所有資金。錢包中激活了ERC-4337模塊的數百名用戶很容易受到這種攻擊，區塊鏈上的任何人都可以執行這種攻擊。

該漏洞由3個不同的問題組成，這些問題無法單獨利用，但組合起來后，可被利用以獲得對錢包的所有者級訪問權限。

1. 第一個問題是validateSignature 函數對于空簽名返回“success=true”：

2. 第二個問題與計算調用合約本身的特權函數需要多少角色權重有關。

3. 第三個問題實際上并不是智能合約代碼的問題；這是模塊安裝時的問題。當使用錢包的接口啟用ERC-4337模塊時，鏈上會調用addHook 4次來添加其功能。

在確認收到初始披露后的24小時內，UniPass團隊立即成功執行了白帽操作，修補了所有易受攻擊的錢包，并添加了缺失的“addPermission”調用，以便將來啟用ERC-4337模塊。

其它快訊：

Fireblocks支持Avalanche子網測試網Spruce:5月3日消息，加密貨幣托管技術提供商Fireblocks宣布支持Avalanche子網測試網Spruce，Fireblocks用戶可以托管Spruce子網代幣，并直接從Fireblocks控制臺和API啟動Spruce測試網的交易。[2023/5/3 14:40:05]

動態 | 富達等投資加密安全公司Fireblocks:據coindesk報道，Fireblocks是一個保護傳輸過程中的數字資產的平臺，宣布從投資巨頭那里獲得了1600萬美元的A輪融資，其中包括Cyberstart、Tenaya Capital和富達國際(Fidelity International)的專有投資部門Eight Roads。Galaxy Digital和Genesis Global Trading等幾家頗具影響力的客戶已經改用Fireblocks，以保護他們的數字資產在交易所、柜臺經紀商、熱錢包和冷庫之間的傳輸。[2019/6/11]

動態 | 加密資產投資基金1confirmation正募集第二支基金 計劃支持早期加密項目:據newsbtc報道，《華爾街日報》的“風險投資”專欄透露，加密資產投資基金1confirmation正在尋找潛在投資者，以為其第二支基金募集6000萬美元的資金，該基金計劃通過購買股票或代幣來支持早期加密項目。[2019/1/19]