CVE-2021-41135

Versões 0.43.x a 0.44.1 do Cosmos-SDK

O Cosmos-SDK é uma estrutura para a criação de aplicativos de blockchain em Golang. As versões afetadas do SDK estavam vulneráveis a uma interrupção do consenso devido a um comportamento não determinístico no método ValidateBasic do módulo x/authz. O MsgGrant do módulo x/authz contém um campo Grant que inclui um tempo de expiração definido pelo usuário para quando a concessão de autorização expira. Em Grant.ValidateBasic(), esse tempo é comparado com a hora do relógio local do nó. Qualquer cadeia executando uma versão afetada do SDK com o módulo authz habilitado poderia ser interrompida por qualquer pessoa com a capacidade de enviar transações nessa cadeia. A recuperação exigiria a aplicação do patch e o revertimento do bloco mais recente. Os fundos e saldos estão seguros.

Atualize para a versão 0.44.2 para resolver o problema.

Como solução temporária, considere aplicar manualmente o patch no código até que a atualização oficial possa ser aplicada.