CVE-2025-46834 in modular-account
Sumário
de VulDB • 02/06/2026
A conta Modular da Alchemy é uma conta de contrato inteligente compatível com ERC-4337 e ERC-6900. Nas versões do ramo 2.x anteriores ao commit 5e6f540d249afcaeaf76ab95517d0359fde883b0, os proprietários das contas Modulares podem conceder chaves de sessão (chaves externas com escopo) a partes externas e utilizariam o módulo allowlist para restringir quais contratos externos podem ser acessados pela chave de sessão. Existe um bug no módulo allowlist em que não verificamos o caminho `executeUserOp` -> `execute` ou `executeBatch`, permitindo efetivamente que qualquer chave de sessão contorne quaisquer restrições de controle de acesso definidas na chave de sessão. As chaves de sessão são capazes de acessar contratos de tokens ERC20 e ERC721, entre outros, transferindo todos os tokens da conta para fora e configurando as permissões em módulos externos nas chaves de sessão. Eles seriam capazes de remover todas as restrições definidas sobre si mesmos dessa maneira ou rotacionar as chaves de outras chaves com privilégios mais elevados para chaves que controlam. O commit 5e6f540d249afcaeaf76ab95517d0359fde883b0 corrige este problema.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.