Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en zkvyper (CVE-2024-43366)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
15/08/2024
Última modificación:
27/09/2024

Descripción

zkvyper es un compilador de Vyper. A partir de la versión 1.3.12 y antes de la versión 1.5.3, dado que LLL IR no tiene restricciones de incompletitud de Turing, se compila en un bucle con una condición de salida mucho más tardía. Conduce a una pérdida de fondos u otro comportamiento no deseado si el cuerpo del bucle lo contiene. Sin embargo, otros casos de uso de la vida real, como iterar sobre una matriz, no se ven afectados. Ningún contrato se vio afectado por este problema, que se solucionó en la versión 1.5.3. Actualizar y reimplementar los contratos afectados es la única manera de evitar la vulnerabilidad.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:matter-labs:zkvyper:*:*:*:*:*:*:*:* 1.3.12 (incluyendo) 1.5.3 (excluyendo)