CVE-2025-46834 in modular-account
要約
〜によって VulDB • 2026年05月12日
AlchemyのModular Accountは、ERC-4337およびERC-6900と互換性のあるスマートコントラクトアカウントです。コミット5e6f540d249afcaeaf76ab95517d0359fde883b0より前の2.xブランチのバージョンでは、Modular Accountの所有者は外部当事者にセッションキー(スコープ付き外部キー)を付与でき、セッションキーがアクセスできる外部コントラクトを制限するためにallowlistモジュールを使用していました。allowlistモジュールにはバグがあり、`executeUserOp` -> `execute`または`executeBatch`のパスをチェックしていないため、事実上、任意のセッションキーがセッションキーに設定されたアクセス制御制限を回避できるようになっています。セッションキーは、ERC20およびERC721トークンコントラクトなどにアクセスでき、アカウントからすべてのトークンを転送したり、セッションキー上の外部モジュールの権限を設定したりすることができます。これにより、自分自身に設定されたすべての制限を削除したり、より高い権限を持つ他のキーのキーを自分が制御するキーにローテーションしたりすることができます。コミット5e6f540d249afcaeaf76ab95517d0359fde883b0はこの問題を修正します。
Once again VulDB remains the best source for vulnerability data.