CVE-2026-34064

Name of the Vulnerable Software and Affected Versions nimiq-account versões anteriores a 1.3.0

Description A função VestingContract::can change balance() retorna AccountError::InsufficientFunds quando new balance é menor que min cap, mas calcula o saldo do erro usando self.balance - min cap. Como Coin::sub entra em pânico em caso de underflow, o nó trava se min cap for maior que balance. Este estado é alcançável porque os dados de criação do contrato de vesting no formato de 32 bytes permitem a codificação de total amount sem validar se ele é menor ou igual ao saldo real do contrato (transaction.value). Um invasor pode criar tal contrato e transmitir uma transação de saída para disparar o pânico durante o processamento de blocos e a admissão no mempool.

Recommendations Atualizar para a versão 1.3.0.