Fireblocks：智能合約錢包UniPass中發現ERC-4337帳戶抽象漏洞

金色財經報道，Fireblocks研究團隊最近在智能合約錢包UniPass中發現了一個ERC-4337帳戶抽象漏洞。該漏洞允許攻擊者對UniPass錢包進行完全帳戶接管，通過替換錢包的可信入口點來激活帳戶抽象模塊。一旦帳戶接管完成，攻擊者就可以將錢包視為自己的錢包并耗盡其中的所有資金。錢包中激活了ERC-4337模塊的數百名用戶很容易受到這種攻擊，區塊鏈上的任何人都可以執行這種攻擊。

該漏洞由3個不同的問題組成，這些問題無法單獨利用，但組合起來后，可被利用以獲得對錢包的所有者級訪問權限。

1. 第一個問題是validateSignature 函數對于空簽名返回“success=true”：

2. 第二個問題與計算調用合約本身的特權函數需要多少角色權重有關。

3. 第三個問題實際上并不是智能合約代碼的問題；這是模塊安裝時的問題。當使用錢包的接口啟用ERC-4337模塊時，鏈上會調用addHook 4次來添加其功能。

在確認收到初始披露后的24小時內，UniPass團隊立即成功執行了白帽操作，修補了所有易受攻擊的錢包，并添加了缺失的“addPermission”調用，以便將來啟用ERC-4337模塊。

其它快訊：

Fireblocks數字資產托管平臺支持FTM:Fantom基金會宣布，Fireblocks數字資產托管平臺增加了對FTM代幣的支持。Fantom主網和ERC-20代幣現在可供500多家使用Fireblocks解決方案的金融機構使用。此外，Fireblocks現在為Fantom提供資金管理服務，以擴大進入加密資本市場的機會，并最大化投資組合回報。（BusinessWire）[2021/9/8 23:07:43]

加密貨幣托管服務提供商Fireblocks融資1.33億美元:加密貨幣托管服務提供商Fireblocks剛剛籌集了1.33億美元。自2019年成立以來，該公司已轉移了6370億美元。交易量自2020年以來增長了2023％。該公司表示，Revolut、BlockFi Trading和Celsius等面向零售的業務正在推動加密貨幣托管平臺的增長。（CoinDesk）[2021/5/18 22:16:32]

SignatureBank在Fireblocks網絡上推出數字支付平臺:加密友好銀行SignatureBank推出基于Fireblocks網絡的企業級電子支付整合平臺Signet?，為移動、存儲和發行數字資產提供安全的基礎架構。與Fireblocks深度集成為SignatureBank客戶在發幣和加密貨幣結算和支付期間提供了更高的資本效率和安全性。SignatureBank客戶可以使用數字支付平臺Signet和API連接，在Fireblocks網絡上啟動交易。[2020/6/23]