CVE-2025-46834 in modular-accountinformação

Sumário

de VulDB • 02/06/2026

A conta Modular da Alchemy é uma conta de contrato inteligente compatível com ERC-4337 e ERC-6900. Nas versões do ramo 2.x anteriores ao commit 5e6f540d249afcaeaf76ab95517d0359fde883b0, os proprietários das contas Modulares podem conceder chaves de sessão (chaves externas com escopo) a partes externas e utilizariam o módulo allowlist para restringir quais contratos externos podem ser acessados pela chave de sessão. Existe um bug no módulo allowlist em que não verificamos o caminho `executeUserOp` -> `execute` ou `executeBatch`, permitindo efetivamente que qualquer chave de sessão contorne quaisquer restrições de controle de acesso definidas na chave de sessão. As chaves de sessão são capazes de acessar contratos de tokens ERC20 e ERC721, entre outros, transferindo todos os tokens da conta para fora e configurando as permissões em módulos externos nas chaves de sessão. Eles seriam capazes de remover todas as restrições definidas sobre si mesmos dessa maneira ou rotacionar as chaves de outras chaves com privilégios mais elevados para chaves que controlam. O commit 5e6f540d249afcaeaf76ab95517d0359fde883b0 corrige este problema.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

GitHub M

Reservar

30/04/2025

Divulgação

15/05/2025

Moderação

aceite

Entrada

VDB-309139

CPE

pronto

EPSS

0.00336

KEV

não

Atividades

muito baixo

Fontes

Might our Artificial Intelligence support you?

Check our Alexa App!