கிரிப்டோகரன்சி உள்கட்டமைப்பு நிறுவனமான Fireblocks, Ethereum சுற்றுச்சூழலுக்குள் முதல் கணக்கு சுருக்கம் பாதிப்பு என விவரிப்பதைக் கண்டறிந்து அதைச் சமாளிக்க உதவியது.
அக்டோபர் 26 அன்று வெளியிடப்பட்ட ஒரு அறிவிப்பு, ஸ்மார்ட் ஒப்பந்த வாலட் யூனிபாஸில் ERC-4337 கணக்கின் சுருக்கம் பாதிப்பைக் கண்டறிந்தது. ‘ஒயிட்ஹாட்’ ஹேக்கிங் செயல்பாட்டின் போது நூற்றுக்கணக்கான மெயின்நெட் வாலட்களில் கண்டறியப்பட்ட பாதிப்பை நிவர்த்தி செய்ய இரு நிறுவனங்களும் இணைந்து செயல்பட்டன.
Fireblocks இன் கூற்றுப்படி, Ethereum இன் கணக்கு சுருக்கம் செயல்முறையை கையாளுவதன் மூலம் UniPass வாலட்டின் முழு கணக்கை கையகப்படுத்துவதற்கு சாத்தியமான தாக்குதலாளியை பாதிப்பு அனுமதிக்கும்.
Ethereum இன் டெவலப்பர் படி ஆவணங்கள் ERC-4337 இல், கணக்குச் சுருக்கமானது, நெகிழ்வுத்தன்மை மற்றும் செயல்திறனை வழங்குவதற்காக பிளாக்செயின் மூலம் பரிவர்த்தனைகள் மற்றும் ஸ்மார்ட் ஒப்பந்தங்கள் செயலாக்கப்படும் விதத்தில் மாற்றத்தை அனுமதிக்கிறது.
தொடர்புடையது: கணக்குச் சுருக்கம் ஒரு பில்லியன் பயனர்களை ஆசியாவிலிருந்து Web3க்கு அழைத்துச் செல்லும்: ConsenSys exec
வழக்கமான Ethereum பரிவர்த்தனைகள் இரண்டு வகையான கணக்குகளை உள்ளடக்கியது, வெளிப்புறமாக சொந்தமான கணக்குகள் (EOAs) மற்றும் ஒப்பந்த கணக்குகள். EOAக்கள் தனிப்பட்ட விசைகளால் கட்டுப்படுத்தப்படுகின்றன மற்றும் பரிவர்த்தனைகளைத் தொடங்கலாம், அதே நேரத்தில் ஒப்பந்தக் கணக்குகள் ஸ்மார்ட் ஒப்பந்தத்தின் குறியீட்டால் கட்டுப்படுத்தப்படுகின்றன. ஒரு EOA ஒரு ஒப்பந்தக் கணக்கிற்கு ஒரு பரிவர்த்தனையை அனுப்பும்போது, அது ஒப்பந்தத்தின் குறியீட்டை செயல்படுத்தத் தூண்டுகிறது.
கணக்கு சுருக்கம் என்பது மெட்டா பரிவர்த்தனை அல்லது மிகவும் பொதுவான சுருக்கமான கணக்குகளின் யோசனையை அறிமுகப்படுத்துகிறது. சுருக்கப்பட்ட கணக்குகள் ஒரு குறிப்பிட்ட தனிப்பட்ட விசையுடன் இணைக்கப்படவில்லை, மேலும் அவை EOAவைப் போலவே பரிவர்த்தனைகளைத் தொடங்கவும் ஸ்மார்ட் ஒப்பந்தங்களுடன் தொடர்பு கொள்ளவும் முடியும்.
Fireblocks விளக்குவது போல், ERC-4337-இணக்கமான கணக்கு ஒரு செயலைச் செய்யும்போது, அது கையொப்பமிடப்பட்ட பரிவர்த்தனைகள் மட்டுமே செயல்படுத்தப்படுவதை உறுதிசெய்ய Entrypoint ஒப்பந்தத்தை நம்பியுள்ளது. இந்தக் கணக்குகள் பொதுவாக தணிக்கை செய்யப்பட்ட ஒற்றை EntryPoint ஒப்பந்தத்தை நம்பி, ஒரு கட்டளையைச் செயல்படுத்தும் முன், கணக்கிலிருந்து அனுமதியைப் பெறுகிறது என்பதை உறுதிப்படுத்துகிறது:
“ஒரு தீங்கிழைக்கும் அல்லது தரமற்ற நுழைவுப் புள்ளி, கோட்பாட்டில், “validateUserOp”க்கான அழைப்பைத் தவிர்த்துவிட்டு, செயல்படுத்தும் செயல்பாட்டை நேரடியாக அழைக்கலாம், ஏனெனில் அது நம்பகமான EntryPoint இலிருந்து அழைக்கப்படும் ஒரே கட்டுப்பாடு.”
ஃபயர் பிளாக்ஸின் கூற்றுப்படி, இந்த பாதிப்பு, வாலட்டின் நம்பகமான என்ட்ரிபாயிண்ட்டை மாற்றுவதன் மூலம் யூனிபாஸ் வாலெட்டுகளின் கட்டுப்பாட்டைப் பெற ஒரு தாக்குதலை அனுமதித்தது. கணக்கு கையகப்படுத்தல் முடிந்ததும், தாக்குபவர் பணப்பையை அணுகி அதன் நிதியை வெளியேற்ற முடியும்.
ERC-4337 தொகுதியை தங்கள் பணப்பையில் செயல்படுத்திய பல நூறு பயனர்கள் பிளாக்செயினில் எந்த நடிகராலும் நிகழ்த்தப்படும் தாக்குதலுக்கு ஆளாக நேரிடும். கேள்விக்குரிய பணப்பைகள் சிறிய அளவிலான நிதிகளை மட்டுமே வைத்திருந்தன மற்றும் ஆரம்ப கட்டத்தில் சிக்கல் குறைக்கப்பட்டது.
பாதிப்பை பயன்படுத்திக் கொள்ள முடியும் என்பதை உறுதி செய்த பின்னர், Fireblocks இன் ஆய்வுக் குழு, தற்போதுள்ள பாதிப்புகளை சரிசெய்ய ஒரு whitehat நடவடிக்கையை மேற்கொள்ள முடிந்தது. இது உண்மையில் பாதிப்பை சுரண்டுவதை உள்ளடக்கியது:
“இந்த யோசனையை யுனிபாஸ் குழுவுடன் நாங்கள் பகிர்ந்து கொண்டோம், அவர்கள் வைட்ஹாட் செயல்பாட்டை செயல்படுத்துவதற்கும் இயக்குவதற்கும் தங்கள் பொறுப்பை எடுத்துக் கொண்டனர்.”
Ethereum இணை நிறுவனர் Vitalik Buterin முன்பு கணக்கு சுருக்க செயல்பாட்டின் பெருக்கத்தை விரைவுபடுத்துவதில் உள்ள சவால்களை கோடிட்டுக் காட்டினார், இதில் EOA களை ஸ்மார்ட் ஒப்பந்தங்களாக மேம்படுத்துவதற்கும் லேயர்-2 தீர்வுகளில் நெறிமுறை செயல்படுவதை உறுதி செய்வதற்கும் Ethereum மேம்பாட்டு முன்மொழிவின் (EIP) தேவையும் அடங்கும்.
இதழ்: Ethereum ரீஸ்டேக்கிங்: Blockchain கண்டுபிடிப்பு அல்லது அட்டைகளின் ஆபத்தான வீடு?
நன்றி
Publisher: cointelegraph.com