CVE-2021-25835

Cosmos Network Ethermint versões <= v0.4.0

O problema está relacionado a uma vulnerabilidade de repetição de transações entre cadeias no módulo EVM. Essa vulnerabilidade é causada pelo uso do mesmo chainID e dos mesmos esquemas de assinatura do Ethereum por motivos de compatibilidade, permitindo que uma assinatura verificada no Ethereum seja válida no Ethermint com o mesmo conteúdo de mensagem e chainID. Isso possibilita um ataque de “repetição de transação entre cadeias”. A vulnerabilidade afeta o pacote github.com/cosmos/ethermint/rpc/namespaces/eth.

Para as versões do Cosmos Network Ethermint <= v0.4.0, considere desativar o módulo EVM até que um patch esteja disponível para prevenir ataques de repetição de transação entre cadeias. Restrinja o acesso ao pacote github.com/cosmos/ethermint/rpc/namespaces/eth para minimizar o risco de exploração. Evite usar o mesmo chainID e esquemas de assinatura do Ethereum até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.