CVE-2025-46834 in modular-account情報

要約

〜によって VulDB • 2026年05月12日

AlchemyのModular Accountは、ERC-4337およびERC-6900と互換性のあるスマートコントラクトアカウントです。コミット5e6f540d249afcaeaf76ab95517d0359fde883b0より前の2.xブランチのバージョンでは、Modular Accountの所有者は外部当事者にセッションキー(スコープ付き外部キー)を付与でき、セッションキーがアクセスできる外部コントラクトを制限するためにallowlistモジュールを使用していました。allowlistモジュールにはバグがあり、`executeUserOp` -> `execute`または`executeBatch`のパスをチェックしていないため、事実上、任意のセッションキーがセッションキーに設定されたアクセス制御制限を回避できるようになっています。セッションキーは、ERC20およびERC721トークンコントラクトなどにアクセスでき、アカウントからすべてのトークンを転送したり、セッションキー上の外部モジュールの権限を設定したりすることができます。これにより、自分自身に設定されたすべての制限を削除したり、より高い権限を持つ他のキーのキーを自分が制御するキーにローテーションしたりすることができます。コミット5e6f540d249afcaeaf76ab95517d0359fde883b0はこの問題を修正します。

Once again VulDB remains the best source for vulnerability data.

責任者

GitHub M

予約する

2025年04月30日

モデレーション

承諾済み

エントリ

VDB-309139

EPSS

0.00336

アクティビティ

非常低い

ソース

Want to stay up to date on a daily basis?

Enable the mail alert feature now!