CVE-2024-37159

Versões do Evmos anteriores à 18.0.0

O problema diz respeito ao código-fonte do Evmos, afetando especificamente as contas de vesting. Envolve três problemas principais: cálculo incorreto do saldo disponível, ausência de verificações de pré-compilação e ausência de verificação na criação de validadores. O cálculo incorreto do saldo disponível ocorre ao delegar tokens adquiridos, permitindo que uma conta de aquisição com cláusula de recuperação antecipe a liberação de tokens não adquiridos. A ausência de verificações de pré-compilação permite que uma conta com cláusula de recuperação contorne as verificações do manipulador de ante do Cosmos, enviando uma transação Ethereum direcionada a uma pré-compilação usada para interagir com um módulo do Cosmos SDK. A ausência da verificação de criação de validador permitiu que um usuário criasse um validador usando tokens adquiridos para depositar a garantia própria.

Para versões anteriores à 18.0.0, atualize para a versão 18.0.0 ou posterior para corrigir a função de saldo disponível e implementar as verificações necessárias para o módulo de staking, delegação e criação de validador. Como solução alternativa temporária, considere restringir o uso de tokens adquiridos para delegações e criação de validadores até que a atualização seja aplicada. Evite usar a função TrackDelegation nas versões afetadas até que o problema seja resolvido.