CVE-2025-46834

Nome do Software Vulnerável e Versões Afetadas: Modular Account da Alchemy versões anteriores ao commit 5e6f540d249afcaeaf76ab95517d0359fde883b0

Descrição: O problema refere-se a um bug no módulo de allowlist do Modular Account da Alchemy, que é compatível com ERC-4337 e ERC-6900. Este bug permite que chaves de sessão contornem restrições de controle de acesso, possibilitando-lhes acessar contratos externos, incluindo contratos de tokens ERC20 e ERC721. Como resultado, as chaves de sessão podem transferir todos os tokens da conta, configurar permissões em módulos externos, remover restrições e rotacionar chaves com privilégios mais altos para chaves sob seu controle.

Recomendações: Para versões anteriores ao commit 5e6f540d249afcaeaf76ab95517d0359fde883b0, atualize para uma versão que inclua a correção fornecida no commit 5e6f540d249afcaeaf76ab95517d0359fde883b0 para resolver o problema. Como medida paliativa temporária, considere restringir o acesso ao caminho executeUserOp e suas respectivas funções subsequentes execute ou executeBatch para impedir que as chaves de sessão contornem as restrições de controle de acesso.