Fireblocks y UniPass Wallet abordan la vulnerabilidad de la abstracción de cuentas ERC-4337 de Ethereum
La empresa de infraestructura de criptomonedas Fireblocks ha identificado y ayudado a abordar lo que describe como la primera vulnerabilidad de abstracción de cuentas en el ecosistema de Ethereum.
Un anuncio del 26 de octubre desveló el descubrimiento de una vulnerabilidad de abstracción de cuenta ERC-4337 en el monedero de contratos inteligentes UniPass. Las dos empresas trabajaron juntas para abordar la vulnerabilidad, que al parecer se encontró en cientos de monederos mainnet durante una operación de hackeo de white-hat.
Según Fireblocks, la vulnerabilidad permitiría a un atacante potencial llevar a cabo una toma de control total de la cuenta del monedero UniPass manipulando el proceso de abstracción de cuentas de Ethereum.
Según la documentación para desarrolladores de Ethereum sobre ERC-4337, la abstracción de cuentas permite un cambio en la forma en que las transacciones y los contratos inteligentes son procesados por la blockchain para proporcionar flexibilidad y eficiencia.
Las transacciones convencionales de Ethereum implican dos tipos de cuentas: cuentas de propiedad externa (EOA) y cuentas de contrato. Las EOA están controladas por claves privadas y pueden iniciar transacciones, mientras que las cuentas de contrato están controladas por el código de un contrato inteligente. Cuando una EOA envía una transacción a una cuenta de contrato, desencadena la ejecución del código del contrato.
La abstracción de cuentas introduce la idea de una meta-transacción o cuentas abstractas más generalizadas. Las cuentas abstractas no están vinculadas a una clave privada específica y pueden iniciar transacciones e interactuar con contratos inteligentes, al igual que una EOA.
Como explica Fireblocks, cuando una cuenta compatible con ERC-4337 ejecuta una acción, confía en el contrato Entrypoint para garantizar que sólo se ejecuten transacciones firmadas. Estas cuentas suelen confiar en un contrato EntryPoint único auditado para garantizar que recibe el permiso de la cuenta antes de ejecutar un comando:
“Es importante señalar que un EntryPoint malicioso o con bugs podría, en teoría, saltarse la solicitud a “validateUserOp” y limitarse a solicitar directamente la función de ejecución, ya que la única restricción que tiene es que se solicita desde el EntryPoint de confianza.”
Según Fireblocks, la vulnerabilidad permitía a un atacante hacerse con el control de los monederos UniPass sustituyendo el EntryPoint de confianza del monedero. Una vez completada la toma de control de la cuenta, un atacante podría acceder al monedero y drenar sus fondos.
Varios cientos de usuarios que tenían el módulo ERC-4337 activado en sus monederos eran vulnerables al ataque, que podía ser realizado por cualquier actor en la blockchain. Los monederos en cuestión sólo contenían pequeñas cantidades de fondos, y el problema se ha mitigado en una fase temprana.
Tras comprobar que la vulnerabilidad podía explotarse, el equipo de investigación de Fireblocks consiguió llevar a cabo una operación de white-hat para parchear las vulnerabilidades existentes. Esto implicaba explotar realmente la vulnerabilidad:
“Compartimos esta idea con el equipo de UniPass, que se encargó de implementar y ejecutar la operación de white-hat.”
El cofundador de Ethereum, Vitalik Buterin, habló previamente de los desafíos para acelerar la proliferación de la funcionalidad de abstracción de cuentas, que incluye la necesidad de una Propuesta de Mejora de Ethereum (EIP) para actualizar los EOA en contratos inteligentes y garantizar que el protocolo funcione en soluciones de capa 2.
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.