CVE-2024-41945

fuels-ts (versões afetadas não especificadas)

O SDK do TypeScript não reconhece transações a serem gastas, fazendo com que algumas transações falhem ou sejam silenciosamente eliminadas, uma vez que são financiadas com UTXOs já utilizados. Esse problema ocorre porque a função fund em fuels-ts/packages/account/src/account.ts obtém os recursos necessários de forma stateless com a função getResourcesToSpend, sem levar em consideração UTXOs já utilizados. Isso pode levar a um comportamento inesperado do SDK, como uma transação não ser incluída no txpool ou uma transação anterior ser silenciosamente removida do txpool e substituída por uma nova.

Para resolver este problema, recomenda-se adicionar um buffer à classe Account, no qual os resources recuperados sejam salvos. Estes podem então ser fornecidos à função getResourcesToSpend para serem excluídos de consultas futuras, mas precisam ser removidos do buffer caso a respectiva transação não seja incluída, a fim de poder usar esses resources novamente nesses casos.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.