A Fundação Ethereum concedeu uma recompensa de $50.000, seu prêmio máximo, a pesquisadores que identificaram um vetor de ataque de “alta severidade” que impacta a blockchain Ethereum.
O vetor de ataque anteriormente inédito, divulgado pela fundação na quinta-feira, afetou o ERC4337, o protocolo que alimenta um recurso chamado abstração de conta.
Isso permitiu que um ator malicioso causasse intencionalmente a reversão de certas transações de abstração de conta e pagasse pelo gás, embora fossem válidas e corretamente assinadas.
“Um enorme agradecimento à EF por lidar com a questão de forma responsável e nos conceder uma recompensa de $50k, o prêmio máximo de alta severidade”, disse a Trust Security, a empresa que identificou o ataque, em um post no X.
“Este é um vetor de censura e perturbação, não um vetor de roubo de fundos”, disse a Fundação Ethereum em um post no blog, acrescentando que o ataque foi corrigido em seu último lançamento.
No momento da descoberta, o uso do tipo de transação ERC4337 vulnerável específico era pequeno, então o impacto real do vetor de ataque foi limitado.
Usuários da Ethereum enviaram cerca de 1.7 milhões de transações ERC4337 vulneráveis na última semana, de acordo com a plataforma de dados de criptomoedas BundleBear.
Isso representa cerca de 9% de todas as transações da Ethereum feitas durante aquele período.
A questão era importante para ser abordada antes que a adoção mais ampla amplificasse seus efeitos, disse a Fundação Ethereum.
Recompensas por bugs
O código que fundamenta a vasta maioria do setor DeFi de $135 bilhões é de código aberto, o que significa que qualquer um pode inspecionar, modificar ou aprimorar livremente.
Essa ética de código aberto é vista favoravelmente pela maioria dos entusiastas de criptomoedas, pois permite auditorias guiadas pela comunidade, facilita a colaboração entre desenvolvedores e permite que os usuários verifiquem se o código faz o que se propõe a fazer.
Mas também é uma espada de dois gumes.
Quaisquer vulnerabilidades no código de código aberto também são visíveis para atacantes, que poderiam explorá-las para roubar fundos ou prejudicar usuários.
É por isso que as recompensas por bugs — recompensas oferecidas a pessoas que identificam erros ou vulnerabilidades no código — são críticas para a segurança do código de código aberto.
Immunefi, a maior plataforma de recompensas por bugs de criptomoedas, pagou mais de $125 milhões no total, de acordo com seu site.
Além da recompensa de $50.000 da Fundação Ethereum, a Trust Security disse que aceitou uma recompensa adicional de $59.500 de aplicativos DeFi que dependem do ERC4337.
Safe, o provedor de carteira multiassinatura, e Biconomy, uma ponte de criptomoedas, estão entre os maiores usuários do tipo de transação ERC4337 vulnerável, embora a Trust Security ainda não tenha dito de quais aplicativos aceitou recompensas.
Causa raiz
A abstração de contas é um conceito na Ethereum que permite transações programáveis, tornando recursos como pagamentos agendados possíveis.
A causa raiz do problema foi uma suposição oculta no código ERC4337.
Os desenvolvedores presumiram que todas as transações de abstração de contas funcionariam de forma limpa, isolada e ininterrupta, assim como as transações normais da Ethereum.
Na verdade, um atacante poderia frontrun certas transações de abstração de contas pendentes que interagem com protocolos com proteção contra reentrância, ou que podem ser revertidas através de mudanças temporárias de estado.
“Isso faria com que a transação interna fosse revertida enquanto pagava pelo gás gasto, prejudicando os usuários da abstração de contas”, disse o post no blog da Fundação Ethereum.
Para corrigir o problema, os desenvolvedores exigiram que certas funções de contrato fossem chamadas apenas de carteiras que não fossem de abstração de contas.
Protocolos que utilizam ERC4337 devem atualizar para a versão mais recente o mais rápido possível, disse a fundação.
Tim Craig é correspondente de DeFi da DL News baseado em Edimburgo. Entre em contato com dicas em tim@dlnews.com.