CVE-2022-35936

Versões do Ethermint anteriores à v0.17.2

As versões do Ethermint anteriores à v0.18.0 não são afetadas se forem v0.17.2 ou posteriores, mas como a v0.17.2 não é uma versão corrigida e apenas a v0.18.0 é mencionada como corrigida, consideramos todas as versões anteriores à v0.18.0 como vulneráveis.

Versões do Cronos anteriores à v0.8.0

O problema surge quando um contrato invoca a função selfdestruct, que remove permanentemente o bytecode correspondente do armazenamento interno do banco de dados. No entanto, devido a um bug na função DeleteAccount, todos os contratos que usavam o mesmo bytecode também deixarão de funcionar assim que um contrato invocar selfdestruct. Isso pode levar a uma negação de serviço (DoS) para todos os contratos que compartilham o mesmo bytecode. Nenhum contrato inteligente foi afetado pelo uso dessa vulnerabilidade devido à divulgação coordenada e bem-sucedida da vulnerabilidade de segurança. Os estados dos contratos inteligentes e os valores de armazenamento não são afetados por essa vulnerabilidade.

Para versões do Ethermint anteriores à v0.17.2, atualize para a versão v0.18.0 ou posterior.

Para versões do Cronos anteriores à v0.8.0, atualize para a versão v0.8.0 ou posterior.

Como solução temporária, se um contrato estiver sujeito a DoS devido a este problema, o usuário pode reimplantar o mesmo contrato com bytecode idêntico para recuperar o código do contrato original.