Evmos
Уязвимости
9
Эксплуатируемые
0
Макс. CVSS
9.1
Макс. EPSS
0.01139
Распределение по критичности
Критический
1
Высокий
4
Средний
4
Низкий
0
Затронутые диапазоны версий
< 17.0.0< 18.0.0< 18.1.0< 19.0.0< 2.0.1< 7.0.0≤ 18.1.0
Также сопоставлено как (исходные строки): evmos
Топ уязвимостей
CVE-2024-32644Evmos - это масштабируемый блокчейн EVM с высокой пропускной способностью и доказательством доли владения, который полностью совместим и взаимодействует с Ethereum. До версии 17.0.0 существует способ чеканки произвольных токенов из-за возможности наличия двух разных состояний, не синхронизированных во время выполнения транзакции. Эксплойт основан на том, что для синхронизации состояния Cosmos SDK и EVM мы полагаемся на метод `stateDB.Commit()`. Когда мы вызываем этот метод, мы перебираем все `dirtyStorage` и, **только если** он отличается от `originStorage`, мы устанавливаем новое состояние. Установка нового состояния означает, что мы обновляем Cosmos SDK KVStore. Если состояние хранилища контракта одинаково до и после транзакции, но изменяется во время транзакции и может вызвать внешний контракт после изменения, это может быть использовано для того, чтобы сделать транзакцию похожей на неатомарную. Уязвимость является **критической**, поскольку это может привести к утечке средств через креативные взаимодействия SC. Проблема была исправлена в версиях >=V17.0.0.
CVE-2024-39696Evmos — это децентрализованная цепочка Ethereum Virtual Machine в сети Cosmos. До версии 19.0.0 пользователь может создать учетную запись с правом требования с учетной записью третьего лица (EOA или контракт) в качестве спонсора. Затем этот пользователь может создать авторизацию для contract.CallerAddress, это авторизация, проверяемая в коде. Но средства берутся с адреса спонсора, указанного в сообщении. Следовательно, пользователь может финансировать учетную запись с правом требования с учетной записью третьего лица без его разрешения. Адресом спонсора может быть любой адрес, поэтому эту уязвимость можно использовать для опустошения всех учетных записей в цепочке. Проблема была исправлена в версии 19.0.0.
CVE-2024-37158Evmos - это хаб виртуальной машины Ethereum (EVM) в сети Cosmos. Предварительные проверки действий, вычисляемых учетными записями с возвратом средств, выполняются в ante handler. Evmos core реализует два разных ante handler: один для транзакций Cosmos и один для транзакций Ethereum. Проверки, выполняемые в двух реализациях, различны. Обнаруженная уязвимость позволяла учетной записи с возвратом средств обходить проверки Cosmos ante handler, отправляя транзакцию Ethereum, нацеленную на precompile, используемый для взаимодействия с модулем Cosmos SDK. Эта уязвимость исправлена в версии 18.0.0.
CVE-2024-37153Evmos - это Ethereum Virtual Machine (EVM) Hub в сети Cosmos. Существует проблема с тем, как ставить ликвидность, используя Safe, который сам по себе является контрактом. Ошибка появляется только тогда, когда в одной и той же функции происходит локальное изменение состояния вместе с передачей ICS20 и использует баланс контракта, то есть использует адрес контракта в качестве параметра отправителя в передаче ICS20 с использованием прекомпиляции ICS20. По сути, это "глюк бесконечных денег", позволяющий контрактам удваивать поставку Evmos после каждой транзакции. Проблема была исправлена в версиях >=V18.1.0.
CVE-2022-24738Evmos - это Ethereum Virtual Machine (EVM) Hub в сети Cosmos. В версиях evmos до 2.0.1 злоумышленники могут вывести невостребованные средства с адресов пользователей. Для этого злоумышленник должен создать новую цепочку, которая не обеспечивает проверку подписи, и подключить ее к целевому экземпляру evmos. Злоумышленник может использовать эту объединенную цепочку для перевода невостребованных средств. Пользователям рекомендуется обновиться. В настоящее время нет известных обходных путей для этой проблемы.
CVE-2024-37159Evmos - это хаб виртуальной машины Ethereum (EVM) в сети Cosmos. Эта уязвимость позволяла пользователю создать валидатор, используя переданные токены, чтобы внести самозалог. Эта уязвимость исправлена в версии 18.0.0.
CVE-2024-37154Evmos - это Ethereum Virtual Machine (EVM) Hub в сети Cosmos. Пользователи могут делегировать токены, которые еще не были переданы. Это касается сотрудников и получателей грантов, чьи средства управляются через `ClawbackVestingAccount`. Это затрагивает версии 18.1.0 и более ранние.
CVE-2022-35936Ethermint — это библиотека Ethereum. В Ethermint, работающем в версиях до `v0.17.2`, вызов контракта `selfdestruct` навсегда удаляет соответствующий байт-код из внутреннего хранилища базы данных. Однако из-за ошибки в функции `DeleteAccount` все контракты, которые использовали идентичный байт-код (т. е. имели одинаковый `CodeHash`), также перестанут работать, как только один контракт вызовет `selfdestruct`, даже если другие контракты не вызывали OPCODE `selfdestruct`. Эта уязвимость была исправлена в Ethermint версии v0.18.0. Исправление содержит изменения в конечном автомате для приложений, использующих Ethermint, поэтому требуется скоординированная процедура обновления. Обходной путь доступен. Если контракт подвержен DoS из-за этой проблемы, пользователь может повторно развернуть тот же контракт, т. е. с идентичным байт-кодом, чтобы восстановить код исходного контракта. Новое развертывание контракта восстанавливает запись `хеш байт-кода -> байт-код` во внутреннем состоянии.
CVE-2024-32873Evmos — это хаб виртуальной машины Ethereum (EVM) в сети Cosmos. Расходуемый баланс не обновляется должным образом при делегировании наделенных токенов. Эта проблема позволяет учетной записи возврата прав ожидать выпуск ненаделенных токенов. Эта уязвимость исправлена в версии 18.0.0.