正文:
近日,慢雾安全团队针对EIP4337标准的账户抽象钱包发布了安全审计指南,旨在为审计人员提供详细的检查项和针对性的审计建议。以下是慢雾安全团队发布的审计指南摘要:
一、EIP4337架构与钱包交易执行流程
EIP4337标准通过用户操作(UserOperation)和入口点(EntryPoint)合约,实现了账户抽象钱包的安全设计。用户操作数据由EOA(外部账户)签署,并通过RPC提交到Alt Mempools。Bundler从Alt Mempools中提取UserOp数据,进行本地模拟,并调用EntryPoint合约执行。 EntryPoint合约验证后调用用户的AA钱包执行calldata,用户需支付手续费或指定Paymaster代付。
二、安全审计检查项
慢雾安全团队列出了以下安全审计检查项,供审计人员参考:
-
检查合约兼容性:确保合约兼容所有EVM兼容链,特别是针对Solidity编译器版本和字节码的问题。
-
检查接口实现与返回值:确保钱包和代付合约实现EIP4337标准规定的核心接口,并符合规范。
-
检查钱包调用者可信性:确保钱包或代付人实现的函数只允许可信的EntryPoint调用。
-
检查手续费支付功能:确保钱包中的validateUserOp函数实现了向EntryPoint合约转账手续费的逻辑。
-
检查钱包创建方式:确保钱包创建使用了CREATE2,避免创建地址受到创建顺序干扰。
-
检查重复创建同一钱包的返回值:确保对于已创建的钱包,传入相同数据时返回同一地址。
-
检查钱包创建时是否可被接管:确保钱包创建前不会被抢先创建,并检查被抢先创建后的钱包所有权和初始化参数。
三、结论
慢雾安全团队发布的EIP4337账户抽象钱包安全审计指南,为审计人员提供了全面的检查项和审计建议。通过遵循这些指南,可以有效提升账户抽象钱包的安全性,降低潜在风险。希望广大开发者、审计人员和用户能够关注并参考该指南,共同推动区块链技术的发展。
Views: 0