Er is een nieuw beveiligingsprobleem ontdekt onder CVE-2025-54429 in Polkadot Frontier, dat een Ethereum en EVM compatibiliteitslaag is. Hierdoor kan een slinkse aanvaller ongeautoriseerde toegang krijgen tot bepaalde precompile-adressen door gebruik te maken van slimme contracten, wat de integriteit van systemen in gevaar brengt.
Dit probleem doet zich voor door een onjuiste adresidentificatie in de onderliggende implementatie van CallableByContract in versies vóór 0822030. Hoewel het probleem voornamelijk invloed heeft op gebruikers met aangepaste precompiles die gebruikmaken van AddressType::EOA en AddressType::Contract, is het cruciaal voor netwerkbeheerders om hun systemen te beschermen.
Overzicht
De kwetsbaarheid, aangeduid als CWE-704: Incorrect Type Conversion of Cast, laat zien dat de adresindeling niet naar behoren functioneerde. Normaal zouden sommige EVM-mechanismen ontoegankelijk moeten zijn voor bepaalde soorten accounts, maar deze beperking werd omzeild door het incorrect beschouwen van contractadressen als AddressType::EOA.
Aanbevelingen
- Update onmiddellijk naar versie 0822030 om de kwetsbaarheid te verhelpen.
- Beoordeling van bestaande gebaseerde implementaties op het gebruik van aangepaste precompiles.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-54429?
Het is een beveiligingslek dat een onjuist typeconversieprobleem behelst binnen Polkadot Frontier waarbij slimme contracten in staat zouden kunnen zijn precompiles aan te roepen die normaliter ontoegankelijk zouden moeten zijn.
Welke systemen zijn kwetsbaar voor CVE-2025-54429?
Alle systemen die gebruikmaken van Polkadot Frontier versies voor 0822030, vooral degenen met aangepaste precompile-implementaties.
Bestaat er al een patch of beveiligingsupdate?
Ja, versie 0822030 bevat de benodigde fix om dit probleem op te lossen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan ongeoorloofd precompiles benaderen via slimme contracten, waardoor de integriteit van bepaalde systemen in gevaar kan komen.
