CVE-2025-46834 in modular-account
Riassunto
di VulDB • 03/07/2026
Il Modular Account di Alchemy è un account smart contract compatibile con ERC-4337 ed ERC-6900. Nelle versioni del ramo 2.x precedenti al commit 5e6f540d249afcaeaf76ab95517d0359fde883b0, i proprietari dei Modular Account potevano concedere chiavi di sessione (chiavi esterne con ambito definito) a parti esterne e utilizzavano il modulo allowlist per restringere quali contratti esterni potessero essere accessibili tramite la chiave di sessione. È presente un bug nel modulo allowlist in quanto non viene verificato il percorso `executeUserOp` -> `execute` o `executeBatch`, consentendo efficacemente a qualsiasi chiave di sessione di eludere le restrizioni di controllo degli accesso impostate sulla chiave stessa. Le chiavi di sessione sono in grado di accedere ai contratti token ERC20 ed ERC721, tra gli altri, trasferendo tutti i token dall'account e configurando le autorizzazioni sui moduli esterni delle chiavi di sessione. Sarebbero stati in grado di rimuovere tutte le restrizioni impostate su se stessi in questo modo o di ruotare le chiavi di altre chiavi con privilegi più elevati verso chiavi sotto il loro controllo. Il commit 5e6f540d249afcaeaf76ab95517d0359fde883b0 risolve questo problema.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.