CVE-2020-26265

Versões do Geth de 1.9.4 a 1.9.20

Um problema de consenso pode causar uma divisão da cadeia, em que as versões vulneráveis se recusam a aceitar a cadeia canônica. Isso ocorre devido a um cálculo incorreto do estado ao processar uma sequência específica de transações. O problema decorre de uma mudança sutil na semântica de createObject, que retorna um objeto diferente de nulo com deleted=true quando a conta foi destruída, fazendo com que o novo objeto herde o saldo antigo. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações sobre incidentes reais em que esse problema tenha sido explorado.

Para as versões 1.9.4 a 1.9.20 do Geth, atualize para a versão 1.9.20 ou uma versão mais recente para resolver o problema. Como solução temporária, considere restringir o uso da função createObject vulnerável até que um patch esteja disponível. Evite usar a função createObject com contas destruídas para minimizar o risco de exploração.