CVE-2021-39167

Versões do OpenZeppelin anteriores à 4.3.1

Versões do OpenZeppelin anteriores à 3.4.2

Versões do OpenZeppelin anteriores à 3.4.2-solc-0.7

Uma vulnerabilidade no TimelockController permitia que um agente com a função executor escalasse privilégios, obtendo acesso irrestrito aos ativos mantidos no contrato. Essa falha pode ser explorada redefinindo o atraso para 0, assumindo assim o controle imediato do timelock. Instâncias com a função executor definida como “aberta” estão particularmente em risco, pois permitem que qualquer pessoa utilize a função executor.

Para versões anteriores à 4.3.1, atualize para a versão 4.3.1 ou posterior.

Para versões anteriores à 3.4.2, atualize para a versão 3.4.2 ou posterior.

Para versões anteriores à 3.4.2-solc-0.7, atualize para a versão 3.4.2-solc-0.7 ou posterior.

Como solução alternativa temporária, considere revogar a função executor de contas que não estejam estritamente sob o controle da equipe. Certifique-se de que haja pelo menos um proposer e um executor restantes após aplicar essa medida de mitigação.