CVE-2024-37158

Versões do Evmos anteriores à 18.0.0

O problema diz respeito a uma vulnerabilidade no Evmos, que afeta especificamente as contas de aquisição de direitos. Trata-se de um cálculo incorreto do saldo disponível para gastos ao delegar tokens com direitos adquiridos, permitindo que uma conta de recuperação antecipe a liberação de tokens sem direitos adquiridos. Além disso, verificações preliminares sobre ações calculadas pelas contas de vesting de clawback são realizadas de maneira diferente nos manipuladores de ante para transações Cosmos e Ethereum. Essa discrepância permitiu que uma conta de clawback contornasse as verificações do manipulador de ante do Cosmos enviando uma transação Ethereum direcionada a uma pré-compilação usada para interagir com um módulo do SDK do Cosmos. Além disso, um usuário poderia criar um validador usando tokens adquiridos para depositar a garantia própria devido à falta de verificações.

Para versões anteriores à 18.0.0, atualize para a versão 18.0.0 ou posterior para corrigir os problemas com o cálculo do saldo disponível, as verificações de pré-compilação e as verificações de criação de validadores. Como solução temporária, considere restringir o uso de tokens adquiridos para delegações e criação de validadores até que a atualização seja aplicada. Evite usar a função TrackDelegation nas versões afetadas até que a correção seja implementada. Restrinja o acesso à pré-compilação usada para interagir com o módulo Cosmos SDK para minimizar o risco de exploração.