Vulnerabilidad en Modular Account de Alchemy (CVE-2025-46834)
Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
15/05/2025
Última modificación:
16/05/2025
Descripción
Modular Account de Alchemy es una cuenta de contrato inteligente compatible con ERC-4337 y ERC-6900. En versiones de la rama 2.x anteriores a el commit 5e6f540d249afcaeaf76ab95517d0359fde883b0, los propietarios de Cuentas Modulares pueden otorgar claves de sesión (claves externas con alcance) a terceros y usar el módulo de lista de permitidos para restringir los contratos externos a los que puede acceder la clave de sesión. Existe un error en el módulo de lista de permitidos: no se verifica la ruta `executeUserOp` -> `execute` o `executeBatch`, lo que permite que cualquier clave de sesión eluda las restricciones de control de acceso establecidas en la clave de sesión. Las claves de sesión pueden acceder a contratos de tokens ERC20 y ERC721, entre otros, transfiriendo todos los tokens de la cuenta y configurando los permisos de los módulos externos en las claves de sesión. De esta manera, podrían eliminar todas las restricciones impuestas o rotar las claves de otras claves con mayores privilegios a claves que controlen. El commit 5e6f540d249afcaeaf76ab95517d0359fde883b0 corrige este problema.