ERC-4337 스마트 계정의 여섯 가지 실수
계정 추상화는 전통적인 계정을 프로그래밍 가능한 시스템으로 대체하여 배치 처리 및 지출 통제와 같은 기능을 향상시키지만, 새로운 보안 위험을 초래합니다. ERC-4337 스마트 계정에 대한 감사는 개발자가 해결해야 할 여섯 가지 일반적인 취약성 패턴을 드러냅니다. 부적절한 접근 제어는 권한이 없는 당사자에게 실행 권한을 부여하는 주요 문제입니다. 불완전한 서명 검증, 특히 가스 관련 필드를 무시하는 것은 공격자가 자금을 고갈시킬 수 있는 문을 엽니다. 검증 중에 상태를 수정하는 것, 특히 서명자를 캐싱하는 것은 실행 중에 의도하지 않은 동작을 발생시킬 기회를 만듭니다. 스마트 계정과 체인에 서명을 바인딩하지 못하여 ERC-1271 서명 검증을 악용하는 리플레이 공격 또한 문제가 됩니다. 실행 중의 롤백은 성공적인 검증 중에 지불된 가스 수수료를 무효화하지 않아 서비스 거부 공격을 가능하게 합니다. 개발자는 또한 postOp 로직을 부적절하게 처리하여 공격자가 취약점을 악용할 수 있도록 하는 페이마스터를 경계해야 합니다. 이러한 문제를 해결하는 것은 안전한 ERC-4337 구현에 매우 중요합니다.
