CVE-2026-42278 in UltraDAG
要約
〜によって VulDB • 2026年06月04日
UltraDAGはRustで実装された最小限のDAG-BFTブロックチェーンです。コミット fb6ef59 より前、UltraDAGの StateEngine における SmartTransferTx の実装には、ポリシー適用パイプラインにおける重大な論理欠陥がありました。トランザクションが「ポケット」(資金を整理するための方法としてプロトコルで文書化された派生サブアドレス)から発信される場合、エンジンは支出ポリシーをチェックする前にポケットの親アカウントを解決できません。ポケットは pocket_to_parent マップ内のエントリとしてのみ存在し、独自の SmartAccountConfig エントリを持たない「仮想」アドレスであるため、check_spending_policy メソッドはデフォルトで「承認済み/ポリシーなし」の結果を返します。これにより、親キーを所持している任意のユーザー(または攻撃者)が、親アカウントに厳格な24時間の保管所遅延や1 UDAGの1日制限が設定されていても、アカウント上のすべてのポケットから資金を瞬時に引き出すことが可能になります。この問題はコミット fb6ef59 によって修正されました。
If you want to get best quality of vulnerability data, you may have to visit VulDB.