Fireblocks：智能合約錢包UniPass中發現ERC-4337帳戶抽象漏洞

金色財經報道，Fireblocks研究團隊最近在智能合約錢包UniPass中發現了一個ERC-4337帳戶抽象漏洞。該漏洞允許攻擊者對UniPass錢包進行完全帳戶接管，通過替換錢包的可信入口點來激活帳戶抽象模塊。一旦帳戶接管完成，攻擊者就可以將錢包視為自己的錢包并耗盡其中的所有資金。錢包中激活了ERC-4337模塊的數百名用戶很容易受到這種攻擊，區塊鏈上的任何人都可以執行這種攻擊。

該漏洞由3個不同的問題組成，這些問題無法單獨利用，但組合起來后，可被利用以獲得對錢包的所有者級訪問權限。

1. 第一個問題是validateSignature 函數對于空簽名返回“success=true”：

2. 第二個問題與計算調用合約本身的特權函數需要多少角色權重有關。

3. 第三個問題實際上并不是智能合約代碼的問題；這是模塊安裝時的問題。當使用錢包的接口啟用ERC-4337模塊時，鏈上會調用addHook 4次來添加其功能。

在確認收到初始披露后的24小時內，UniPass團隊立即成功執行了白帽操作，修補了所有易受攻擊的錢包，并添加了缺失的“addPermission”調用，以便將來啟用ERC-4337模塊。

其它快訊：

CAMPFIRE宣布成立新公司LiveforLtd以進軍web3業務:金色財經報道，日本最大眾籌網站運營商CAMPFIRE于宣布成立新公司LiveforLtd，進軍web3業務。成立該公司的目的是利用web3技術實現新的眾籌和社區服務。Livefor將開發一個利用人工智能和區塊鏈技術的社區平臺，并將利用Web3技術迎接推出新的NFT和DAO服務的挑戰。。新公司已于今年6月8日成立，注冊資金為5000萬日元。[2023/9/14 11:36:52]

Celsius債權人要求傳喚貸款公司Equities First，要求償還4.39億美元抵押品:9月30日消息，加密借貸平臺Celsius的債權人已向法院申請對Equities First發出傳票，后者是一家卷入Celsius破產的貸款公司。債權人正在尋求有關Celsius和Equities First之間的貸款協議、Celsius和貸款人之間的任何現金或加密貨幣轉移的信息，以及Equities First無法向Celsius償還4.39億美元抵押品的原因。（CoinDesk）[2022/9/30 6:04:42]

區塊鏈彩票平臺Fire Lotto發布四個彩票項目:全球首個基于以太坊區塊鏈智能合約彩票平臺Fire Lotto發布，首批推出四個彩票項目。[2018/1/6]