Fireblocks：智能合約錢包UniPass中發現ERC-4337帳戶抽象漏洞

金色財經報道，Fireblocks研究團隊最近在智能合約錢包UniPass中發現了一個ERC-4337帳戶抽象漏洞。該漏洞允許攻擊者對UniPass錢包進行完全帳戶接管，通過替換錢包的可信入口點來激活帳戶抽象模塊。一旦帳戶接管完成，攻擊者就可以將錢包視為自己的錢包并耗盡其中的所有資金。錢包中激活了ERC-4337模塊的數百名用戶很容易受到這種攻擊，區塊鏈上的任何人都可以執行這種攻擊。

該漏洞由3個不同的問題組成，這些問題無法單獨利用，但組合起來后，可被利用以獲得對錢包的所有者級訪問權限。

1. 第一個問題是validateSignature 函數對于空簽名返回“success=true”：

2. 第二個問題與計算調用合約本身的特權函數需要多少角色權重有關。

3. 第三個問題實際上并不是智能合約代碼的問題；這是模塊安裝時的問題。當使用錢包的接口啟用ERC-4337模塊時，鏈上會調用addHook 4次來添加其功能。

在確認收到初始披露后的24小時內，UniPass團隊立即成功執行了白帽操作，修補了所有易受攻擊的錢包，并添加了缺失的“addPermission”調用，以便將來啟用ERC-4337模塊。

其它快訊：

Grayscale和Fir Tree同意解決比特幣信托訴訟:金色財經報道，Fir Tree Capital Management和加密資產管理公司Grayscale Investments已達成協議，解決Fir Tree去年對Grayscale提起的訴訟。特拉華州的法庭文件顯示，去年12月，杉樹資本管理公司(Fir Tree Capital Management)起訴Grayscale，要求其提供信息，調查潛在的管理不善和利益沖突。根據周二宣布的協議，Grayscale將提供有關該公司旗艦產品GBTC的文檔。

該產品旨在以證券的形式提供比特幣敞口，其交易價格通常高于或低于資產凈值。Fir Tree最初的投訴稱，Grayscale的投資者受到了“對股東不友好的行為”的傷害。它還呼吁該公司允許贖回GBTC。該公司表示，Grayscale應該對GBTC的股票進行要約收購。Grayscale需要獲得股東的批準才能進行這樣的發行。[2023/7/12 10:49:01]

Wemade使用Fireblocks服務來管理WEMIX:6月2日消息，韓國游戲公司 Wemade 與加密貨幣托管技術提供商 Fireblocks 簽定服務協議，將使用 Fireblock 的解決方案來改善和提高 WEMIX 資產管理的效率和安全性。[2023/6/2 11:54:56]

聲音 | Coinbase： Firefox漏洞針對員工，用戶不受影響:據cryptoglobe報道，Coinbase針對Firefox漏洞事件回應稱，Firefox漏洞攻擊是針對員工的，交易所和客戶的賬戶都沒有受到影響。據此前消息，Mozilla Firefox警告黑客在其Firefox瀏覽器中利用關鍵漏洞攻擊用戶，其中，加密貨幣持有者風險最大。考慮到技術原因，主要的加密貨幣交易所Coinbase被直接定位為易攻擊目標。[2019/6/21]