Sumitshah00

**Nome do Software Vulnerável e Versões Afetadas** UltraDAG versões anteriores ao commit fb6ef59 **Descrição** A implementação do StateEngine para SmartTransferTx contém uma falha de lógica em seu pipeline de aplicação de políticas. Quando uma transação se origina de um "Pocket" (um subendereço derivado usado para organizar fundos), o mecanismo falha ao resolver a conta pai do pocket antes de verificar a política de gastos. Como os pockets são endereços virtuais que existem apenas no mapa `pocket to parent` e não possuem suas próprias entradas `SmartAccountConfig`, a função `check spending policy()` retorna um resultado autorizado por padrão. Isso permite que um invasor com a chave pai ignore restrições de gastos, como atrasos de cofre ou limites diários, e esvazie todos os pockets associados a uma conta. **Recomendações** Atualize para a versão que contém o commit fb6ef59.

**Name of the Vulnerable Software and Affected Versions** UltraDAG versão 0.1 **Description** Um invasor que não faz parte do conselho pode enviar uma transação 'SmartOp::Vote' assinada que passa com sucesso pelas verificações prévias de assinatura, nonce e saldo. No entanto, a verificação de autorização falha apenas após a mutação do estado já ter ocorrido, permitindo potencialmente alterações de estado não autorizadas. **Recommendations** Atualize o UltraDAG para uma versão onde as verificações de autorização para transações 'SmartOp::Vote' sejam realizadas antes da mutação do estado.