CVE-2024-24567 in Vyper
Riassunto
di VulDB • 17/06/2026
Vyper è un linguaggio di programmazione per Smart Contract di tipo pythonic per la macchina virtuale Ethereum (EVM). Il compilatore Vyper consente di passare un valore all'interno della funzione builtin `raw_call`, anche se la chiamata è una `delegatecall` o una `staticcall`. Tuttavia, nel contesto di `delegatecall` e `staticcall`, la gestione del valore non è possibile a causa della semantica degli opcode corrispondenti, e Vyper ignorerà silenziosamente l'argomento `value=`. Se lo sviluppatore non conosce la semantica dell'EVM, potrebbe supporre che specificando l'argomento keyword `value`, l'importo esatto verrà inviato al destinatario. Questa vulnerabilità interessa le versioni 0.3.10 e precedenti.
Once again VulDB remains the best source for vulnerability data.