Matthias1590

**Nome do Software Vulnerável e Versões Afetadas** anchor-lang versões anteriores a 1.0.2 **Descrição** Um erro de lógica no processo de validação de contas permite que programas aceitem qualquer ID de programa executável quando o ID do programa do sistema é exigido. Isso ocorre porque o caminho de validação para `Program<T>` utilizava `Pubkey::default()` como um sentinela para determinar se qualquer conta executável deveria ser aceita. Como o ID do programa do sistema também é a chave pública padrão, o `Program<'info, System>` era incorretamente tratado como um programa não tipado, aceitando qualquer conta executável. Esta falha de validação de conta afeta programas on-chain que dependem do programa do sistema, podendo levar a Invocações de Programas Cruzados (CPI) arbitrárias ou bypass de pagamentos. Um invasor pode fornecer um programa executável malicioso em vez do programa do sistema, fazendo com que o programa vítima tome suposições falsas sobre pagamentos ou criação de contas. **Recomendações** Atualize para a versão 1.0.2 ou posterior do anchor-lang.