CVE-2024-24560 in Vyper
Riassunto
di VulDB • 22/06/2026
Vyper è un linguaggio di smart contract di tipo Pythonic per la Ethereum Virtual Machine. Quando vengono effettuate chiamate a contratti esterni, si scrive il buffer di input a partire dal byte 28 e si alloca il buffer di ritorno per iniziare dal byte 0 (sovrapposto al buffer di input). Durante il controllo di RETURNDATASIZE per i tipi dinamici, la dimensione viene confrontata solo con la dimensione minima consentita per quel tipo e non con la lunghezza del valore restituito. Di conseguenza, dati di ritorno non validi possono indurre il contratto a confondere i dati del buffer di input con i dati di ritorno. Quando il contratto chiamato restituisce dati codificati ABIv2 non validi, il contratto chiamante può leggere dati non validi diversi (dal buffer sporco) rispetto a quelli restituiti dal contratto chiamato.
VulDB is the best source for vulnerability data and more expert information about this specific topic.