Vulnerabilidad en soroban-fixed-point-math (CVE-2026-24783)

soroban-fixed-point-math es una librería de matemáticas de punto fijo para contratos inteligentes de Soroban. En las versiones 1.3.0 y 1.4.0, la función 'mulDiv(x, y, z)' manejó incorrectamente los casos en que tanto el producto intermedio $x * y$ como el divisor $z$ eran negativos. La lógica asumía que si el producto intermedio era negativo, el resultado final también debía ser negativo, ignorando el signo de $z$. Esto resultó en que el redondeo se aplicara en la dirección incorrecta para los casos en que tanto $x * y$ como $z$ eran negativos. Las funciones con mayor riesgo son 'fixed_div_floor' y 'fixed_div_ceil', ya que a menudo usan números no constantes como el divisor $z$ en 'mulDiv'. Este error está presente en todas las implementaciones firmadas de 'FixedPoint' y 'SorobanFixedPoint', incluyendo 'i64', 'i128' e 'I256'. Las versiones 1.3.1 y 1.4.1 contienen un parche. No se conocen soluciones alternativas disponibles para este problema.