Описание
Finality Provider vulnerable to anti-slashing bypassing due to misconfiguration
Summary
The anti-slashing is not effective if the attacker can access EOTS manager endpoints.
Impact
If the EOTS manager endpoints are open to public without HMAC protection, the attacker can manually cause slashing of the finality provider through the RPC endpoints.
Report credits go to: x.com/RebelsRunways
Пакеты
Наименование
github.com/babylonlabs-io/finality-provider
go
Затронутые версииВерсия исправления
<= 1.0.3
1.0.4
Наименование
github.com/babylonlabs-io/finality-provider
go
Затронутые версииВерсия исправления
= 1.1.0-rc.0
Отсутствует
Наименование
github.com/babylonlabs-io/finality-provider
go
Затронутые версииВерсия исправления
= 1.1.0-rc.1
Отсутствует
Наименование
github.com/babylonlabs-io/finality-provider
go
Затронутые версииВерсия исправления
= 1.99.0-devnet.6
Отсутствует
8.7 High
CVSS4
Дефекты
CWE-285
8.7 High
CVSS4
Дефекты
CWE-285