Evmos — это децентрализованная цепочка Ethereum Virtual Machine в сети Cosmos. До версии 19.0.0 пользователь может создать учетную запись с…
Evmos — это децентрализованная цепочка Ethereum Virtual Machine в сети Cosmos. До версии 19.0.0 пользователь может создать учетную запись с правом требования с учетной записью третьего лица (EOA или контракт) в качестве спонсора. Затем этот пользователь может создать авторизацию для contract.CallerAddress, это авторизация, проверяемая в коде. Но средства берутся с адреса спонсора, указанного в сообщении. Следовательно, пользователь может финансировать учетную запись с правом требования с учетной записью третьего лица без его разрешения. Адресом спонсора может быть любой адрес, поэтому эту уязвимость можно использовать для опустошения всех учетных записей в цепочке. Проблема была исправлена в версии 19.0.0.
Продукт выполняет проверку авторизации при попытке субъекта получить доступ к ресурсу или выполнить действие, однако не осуществляет эту проверку корректно.
https://cwe.mitre.org/data/definitions/863.html →Открыть в коллекции CWE →