【速報】Fireblocksがイーサリアムエコシステムにおける初のアカウント抽象化脆弱性を特定し、対処を支援

ERC-4337アカウント抽象化の脆弱性を特定

Fireblocksは、スマートコントラクトウォレットUniPassにおけるERC-4337アカウント抽象化の脆弱性を発見し、対処に協力したと発表した。発表によれば、この脆弱性は、ホワイトハットハッキング作戦中に数百のメインネットウォレットで見つかったとされている。

脆弱性によるアカウント乗っ取りの可能性

Fireblocksによると、この脆弱性により、ポテンシャルな攻撃者がUniPassウォレットの完全なアカウント乗っ取りを行うことが可能となる。イーサリアムの開発者ドキュメンテーションによると、アカウント抽象化は、ブロックチェーンがトランザクションとスマートコントラクトを処理する方法を柔軟性と効率性を持たせるために行われる。

アバウトラクションの仕組み

従来のイーサリアムのトランザクションは、外部所有アカウント（EOA）と契約アカウントの2種類のアカウントに関与している。EOAはプライベートキーによって制御され、トランザクションを開始することができる。一方、契約アカウントはスマートコントラクトのコードによって制御される。EOAが契約アカウントにトランザクションを送信すると、契約のコードが実行される。

Fireblocksの発見と対処策

Fireblocksによれば、この脆弱性により、UniPassウォレットの信頼できるEntryPointが置き換えられることで、攻撃者がウォレットを乗っ取ることができたという。乗っ取りが完了すると、攻撃者はウォレットにアクセスし、資金を抜き取ることができる。この脆弱性は数百人のユーザーに影響を及ぼし、ブロックチェーン上のどの参加者でも攻撃が可能だったが、被害は小額の資金にとどまっており、早期に対処された。

アカウント抽象化機能の課題

Fireblocksの研究チームは、この脆弱性を悪用できることを確認し、既存の脆弱性を修正するためのホワイトハット作戦を実施した。これには、実際に脆弱性を活用する作業が含まれていた。イーサリアムの共同創設者であるVitalik Buterinは、アカウント抽象化機能の普及を加速させるための課題について言及しており、EOAをスマートコントラクトにアップグレードするためのEthereum Improvement Proposal（EIP）の必要性や、プロトコルをレイヤー2のソリューションで動作させるための取り組みが挙げられている。