RSS Блог "След бит"
Подписаться
Шесть ошибок в смарт-аккаунтах ERC-4337
Абстракция аккаунтов заменяет традиционные аккаунты программируемыми системами, улучшая такие функции, как пакетная обработка и контроль расходов, но при этом вводя новые риски безопасности. Аудиты смарт-аккаунтов ERC-4337 выявляют шесть распространенных шаблонов уязвимостей, которые разработчики должны устранить. Неправильный контроль доступа, предоставляющий несанкционированным сторонам привилегии выполнения, является основной проблемой. Неполная проверка подписи, в частности, игнорирование полей, связанных с газом, открывает двери для злоумышленников, чтобы опустошить средства. Изменение состояния во время проверки, особенно путем кэширования подписантов, создает возможности для непреднамеренного поведения во время выполнения. Атаки повторного воспроизведения, использующие проверку подписи ERC-1271, из-за неспособности привязать подписи к смарт-аккаунту и цепочке, также проблематичны. Откаты во время выполнения не аннулируют плату за газ, уплаченную во время успешной проверки, что позволяет проводить атаки типа «отказ в обслуживании». Разработчики также должны остерегаться плательщиков, которые неправильно обрабатывают логику postOp, потенциально позволяя злоумышленникам использовать уязвимости. Решение этих проблем имеет решающее значение для безопасной реализации ERC-4337.
