Summerpro

**Nome do software vulnerável e versões afetadas** Versões do Ethermint da Cosmos Network <= v0.4.0 **Descrição** O problema está relacionado a uma vulnerabilidade de repetição de transações no módulo EVM. Se uma vítima enviar uma transação com um nonce muito grande, um invasor poderá repetir a transação por meio do aplicativo. Essa vulnerabilidade afeta pacotes Go específicos, incluindo github.com/cosmos/ethermint/rpc/namespaces/eth. A vulnerabilidade também pode ser descrita como um contorno de autenticação por captura e repetição. **Recomendações** Para as versões do Cosmos Network Ethermint <= v0.4.0, considere desativar o módulo EVM ou restringir seu uso para minimizar o risco de exploração até que um patch esteja disponível. Restrinja o acesso ao pacote github.com/cosmos/ethermint/rpc/namespaces/eth para evitar possíveis abusos. Evite usar transações com nonces muito grandes no aplicativo afetado para reduzir o risco de ataques de repetição de transações. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Cosmos Network Ethermint versões <= v0.4.0 **Descrição** O problema está relacionado a uma vulnerabilidade de repetição de transações entre cadeias no módulo EVM. Essa vulnerabilidade é causada pelo uso do mesmo chainID e dos mesmos esquemas de assinatura do Ethereum por motivos de compatibilidade, permitindo que uma assinatura verificada no Ethereum seja válida no Ethermint com o mesmo conteúdo de mensagem e chainID. Isso possibilita um ataque de “repetição de transação entre cadeias”. A vulnerabilidade afeta o pacote github.com/cosmos/ethermint/rpc/namespaces/eth. **Recomendações** Para as versões do Cosmos Network Ethermint <= v0.4.0, considere desativar o módulo EVM até que um patch esteja disponível para prevenir ataques de repetição de transação entre cadeias. Restrinja o acesso ao pacote github.com/cosmos/ethermint/rpc/namespaces/eth para minimizar o risco de exploração. Evite usar o mesmo chainID e esquemas de assinatura do Ethereum até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.