RSS トレイル・オブ・ビッツ ブログ
フォロー
ERC-4337スマートアカウントにおける6つの誤り
アカウント抽象化は、従来の口座をプログラム可能なシステムに置き換えることで、バッチ処理や支出管理などの機能を強化しますが、同時に新たなセキュリティリスクも導入します。ERC-4337スマートアカウントの監査では、開発者が対処すべき6つの一般的な脆弱性パターンが明らかになっています。不正な第三者に実行権限を与える、不適切なアクセス制御が主な懸念事項です。不完全な署名検証、特にガス関連フィールドの無視は、攻撃者が資金を枯渇させるための扉を開きます。検証中に状態を変更すること、特に署名者をキャッシュすることは、実行中に意図しない動作を引き起こす可能性があります。ERC-1271署名検証を悪用したリプレイ攻撃も問題であり、これは署名をスマートアカウントとチェーンにバインドしていないことが原因です。実行中のリバートは、検証が成功した際に支払われたガス料金を無効にしないため、サービス拒否攻撃を可能にします。開発者は、postOpロジックを不適切に処理するペイマスターにも注意する必要があり、攻撃者が脆弱性を悪用する可能性があります。これらの問題に対処することは、安全なERC-4337実装にとって非常に重要です。
