Sorpaas

Nome do Software Vulnerável e Versões Afetadas: versões do crate ethereum anteriores à 0.18.0 Descrição: O problema refere-se a um desvio de especificação no crate ethereum para Rust, onde a maleabilidade de assinatura de acordo com a EIP-2 foi verificada apenas para transações "legacy", mas não para transações EIP-2930, EIP-1559 e EIP-7702. Não se trata de um problema de segurança de alto risco, especialmente se o crate for utilizado em uma blockchain de implementação única. Recomendações: Para versões anteriores à 0.18.0, atualize para a versão 0.18.0 para corrigir o problema. Como solução alternativa temporária, considere verificar manualmente a maleabilidade da transação fora do crate.

**Nome do software vulnerável e versões afetadas** Versões do rust-evm anteriores à 0.41.1 **Descrição** O problema está relacionado ao recurso `record external operation` no `rust-evm`, que permite aos usuários da biblioteca registrar alterações personalizadas no gas. Esse recurso pode causar interações incorretas com a pilha de chamadas, particularmente durante a finalização de um `CREATE` ou `CREATE2`. Se a execução do substack ocorrer com sucesso, o `rust-evm` primeiro confirmará o subestado e, em seguida, chamará `record external operation(Write(out code.len()))`. Se `record external operation` falhar posteriormente, esse erro é retornado à pilha de chamadas pai, em vez de `Succeeded`. No entanto, o commit do subestado já ocorreu, fazendo com que os contratos inteligentes confirmem alterações de estado quando o contrato chamador pai recebe um endereço nulo, o que geralmente indica que a execução falhou. Este problema afeta apenas usuários da biblioteca com `record external operation` personalizado que retorna erros. **Recomendações** Para versões anteriores à 0.41.1, atualize para a versão 0.41.1 para resolver o problema. Como solução alternativa temporária, considere desativar o recurso `record external operation` até que um patch esteja disponível. Restrinja o acesso à função `record external operation` para minimizar o risco de exploração. Evite usar a função `record external operation` no endpoint da API afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Frontier anteriores ao commit d3beddc6911a559a3ecc9b3f08e153dbe37a8658 **Descrição** O problema decorre do fato de o peso do pior caso ser sempre considerado como o peso do bloco para todos os casos, o que pode levar a ataques de spam de blocos em caso de grandes reembolsos de gás EVM. Um adversário pode construir blocos com transações que apresentem grandes quantidades de reembolsos ou gás não utilizado com reversões, resultando em preços inflacionados do gás da cadeia. O impacto desse problema é limitado, pois o ataque de spam ainda seria oneroso para qualquer adversário e não tem capacidade de alterar o estado da cadeia. **Recomendações** Para versões anteriores ao commit d3beddc6911a559a3ecc9b3f08e153dbe37a8658, atualize para uma versão que inclua a correção, pois o problema foi corrigido no commit d3beddc6911a559a3ecc9b3f08e153dbe37a8658. Como solução alternativa temporária, considere reembolsar adequadamente os pesos não utilizados após cada execução do EVM para evitar ataques de spam de blocos.