Vyper (versões afetadas não especificadas)

O problema decorre de uma especificação ABI mal definida, que permite que funções retornem valores que podem ser armazenados em variáveis de tipos diferentes sem conversão explícita ou validação de entrada. Especificamente, o retorno de uma função do tipo uint8 pode ser armazenado em uma variável do tipo uint256. A ausência de tipos uint8 no Vyper e o fato de que ERC20.decimals() retorna uint8 podem levar a cenários em que um valor inesperadamente grande retornado por essa função possa ser explorado. O número estimado de dispositivos potencialmente afetados não foi fornecido, e não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.

Como solução temporária, considere adicionar uma verificação para garantir que o valor retornado por uma interface que especifique uint8 esteja dentro dos limites de um inteiro uint8, como assert decimals < 256.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.