PT-2021-24272 · Nervos · Ckb
Publicado
2021-07-25
·
Atualizado
2022-01-06
·
CVE-2021-45698
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Versões do crate ckb anteriores à 0.40.0
Descrição:
Foi detectada uma falha no crate ckb em que uma chamada RPC
get block template pode falhar ao selecionar uma transação da blockchain Nervos CKB com uma taxa de comissão mais alta do que outra transação. Isso ocorre quando uma célula é utilizada como célula de depósito (cell dep) e como entrada em transações diferentes. Por exemplo, se a célula C for usada como um grupo de dep na transação A e for destruída na transação B, e o nó adicionar primeiro a transação A e depois B ao pool de transações, a chamada RPC get block template falhará se a taxa de comissão de B for mais alta.Recomendações:
Para versões anteriores à 0.40.0, considere as seguintes soluções alternativas:
-
Envie a transação B quando A já estiver na cadeia.
-
Faça com que B dependa explicitamente de A, adicionando qualquer célula de saída de A como célula de dependência ou entrada em B, ou mescle A e B.
-
Certifique-se de que a taxa de comissão de B seja menor que a de A, para que A sempre tenha prioridade maior.
Como solução alternativa temporária, considere modificar o
get block template para descartar transações conflitantes em vez de falhar.Correção
Time Of Check To Time Of Use
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ckb