Evmos 的事务执行未考虑与预编译交互后的所有状态转换 (CVE-2024-32644)
CVE编号
CVE-2024-32644利用情况
暂无补丁情况
N/A披露时间
2024-04-19漏洞描述
Evmos是一个可扩展、高吞吐量的EVM权益证明区块链,与以太坊完全兼容且可互操作。在17.0.0之前,由于在执行事务时可能会出现不同步的两个不同状态,存在一种铸造任意代币的方式。漏洞是基于sync Cosmos SDK状态和EVM状态,我们依赖于`stateDB.Commit()`方法。当我们调用此方法时,遍历所有的`dirtyStorage`,只有当它与`originStorage`不同时,我们才设置新状态。设置新状态意味着我们更新Cosmos SDK KVStore。如果一个在事务期间发生变化,并且在更改后可以调用外部合约的合约存储状态与事务前后相同,它可能被利用使得交易类似于非原子。由于这可能导致通过创造性的合约与其他智能合约互动来耗尽资金,因此这个漏洞十分严重。此问题在版本>=V17.0.0中已修复。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 高
- 保密性 无
- 完整性 高
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论