PT-2024-27337 · Evmos · Evmos
Evmosdao
+1
·
Publicado
2024-06-06
·
Atualizado
2024-10-15
·
CVE-2024-37153
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Evmos anteriores à V18.1.0
Descrição
O problema está relacionado ao liquid staking usando o Safe, que é um contrato. O bug ocorre quando há uma alteração no estado local juntamente com uma transferência ICS20 na mesma função, e ela utiliza o saldo do contrato. Trata-se essencialmente da “falha do dinheiro infinito”, que permite que os contratos dupliquem a oferta de Evmos após cada transação.
Recomendações
Para versões anteriores à V18.1.0, atualize para uma versão >=V18.1.0 para corrigir o problema. Como solução temporária, considere restringir o uso do saldo do contrato em transferências ICS20 para minimizar o risco de exploração. Evite usar o parâmetro
sender com o endereço do contrato em transferências ICS20 que utilizem a pré-compilação ICS20 até que o problema seja resolvido.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Evmos