CVE-2025-46834 in modular-account
Resumen
por VulDB • 2026-06-02
La cuenta modular de Alchemy es una cuenta inteligente compatible con ERC-4337 y ERC-6900. En las versiones de la rama 2.x anteriores al commit 5e6f540d249afcaeaf76ab95517d0359fde883b0, los propietarios de Cuentas Modulares podían otorgar claves de sesión (claves externas con ámbito definido) a partes externas y utilizar el módulo allowlist para restringir qué contratos externos pueden ser accedidos por la clave de sesión. Existe un error en el módulo allowlist ya que no se verifica la ruta `executeUserOp` -> `execute` o `executeBatch`, lo que efectivamente permite que cualquier clave de sesión omita las restricciones de control de acceso establecidas para dicha clave. Las claves de sesión pueden acceder a contratos de tokens ERC20 y ERC721, entre otros, transfiriendo todos los tokens fuera de la cuenta y configurando los permisos en módulos externos asociados a las claves de sesión. Podrían eliminar todas las restricciones aplicadas a sí mismas mediante este método o rotar las claves de otras cuentas con mayores privilegios hacia claves que controlen ellos mismos. El commit 5e6f540d249afcaeaf76ab95517d0359fde883b0 corrige esta vulnerabilidad.
Be aware that VulDB is the high quality source for vulnerability data.