Tomtau

**Nome do software vulnerável e versões afetadas** Versões do Ethermint anteriores à v0.17.2 As versões do Ethermint anteriores à v0.18.0 não são afetadas se forem v0.17.2 ou posteriores, mas como a v0.17.2 não é uma versão corrigida e apenas a v0.18.0 é mencionada como corrigida, consideramos todas as versões anteriores à v0.18.0 como vulneráveis. Versões do Cronos anteriores à v0.8.0 **Descrição** O problema surge quando um contrato invoca a função `selfdestruct`, que remove permanentemente o bytecode correspondente do armazenamento interno do banco de dados. No entanto, devido a um bug na função `DeleteAccount`, todos os contratos que usavam o mesmo bytecode também deixarão de funcionar assim que um contrato invocar `selfdestruct`. Isso pode levar a uma negação de serviço (DoS) para todos os contratos que compartilham o mesmo bytecode. Nenhum contrato inteligente foi afetado pelo uso dessa vulnerabilidade devido à divulgação coordenada e bem-sucedida da vulnerabilidade de segurança. Os estados dos contratos inteligentes e os valores de armazenamento não são afetados por essa vulnerabilidade. **Recomendações** Para versões do Ethermint anteriores à v0.17.2, atualize para a versão v0.18.0 ou posterior. Para versões do Cronos anteriores à v0.8.0, atualize para a versão v0.8.0 ou posterior. Como solução temporária, se um contrato estiver sujeito a DoS devido a este problema, o usuário pode reimplantar o mesmo contrato com bytecode idêntico para recuperar o código do contrato original.

**Nome do software vulnerável e versões afetadas: Tendermint Core, versões 0.34.0 a 0.34.2 Descrição: O problema decorre do tratamento incorreto de carimbos de data/hora durante o processo de consenso no Tendermint Core, o que pode causar uma negação de serviço. Quando são observados sinais duplos, o reator de consenso forma DuplicateVoteEvidence, mas como o bloco atual ainda está “em andamento” e não foi finalizado por meio do consenso da rede, diferentes nós podem observar diferentes “últimos commits” e atribuir carimbos de data/hora diferentes ao DuplicateVoteEvidence. Isso faz com que algumas DuplicateVoteEvidence sejam consideradas inválidas, levando os nós a proporem evidências inválidas e, potencialmente, serem desconectados por seus pares. O bug significa que assinaturas duplicadas são vetores de negação de serviço nas versões afetadas. Recomendações: Para as versões 0.34.0 a 0.34.2 do Tendermint Core, atualize para a versão 0.34.3 para corrigir o bug. A partir da versão 0.34.3, o DuplicateVoteEvidence não é mais formado pelo reator de consenso, mas sim pelo EvidencePool, que possui informações de carimbo de data/hora consistentes em toda a rede.