关键信息 漏洞编号 CWA-2024-002 漏洞描述 在 中,某些数学运算使用了环绕数学而不是在溢出时引发恐慌,这可能导致使用这些运算的合约计算错误。 严重性 中等 影响版本 cosmwasm-std >= 2.0.0, = 1.5.0, = 1.3.0, < 1.4.4 修复版本 cosmwasm-std 1.4.4, 1.5.4, 2.0.2 受影响函数 Uint{256,512}::pow / Int{256,512}::pow Int{256,512}::neg (一元否定运算符 -) 如果未设置 ,受影响的函数还包括: Uint{64,128}::pow / Int{64,128}::pow Int{64,128}::neg (一元否定运算符 -) 修复补丁 1.4: commit 1.5: commit 2.0: commit 应用修复步骤 1. 在合约项目的项目中运行 2. 确保 中的 版本为 1.4.4、1.5.4 或 2.0.2 时间线 2024-02-26: Confio 安全贡献者在测试期间发现此问题。 2024-02-28: Confio 和 Amulet 讨论该问题并调查潜在影响。 2024-04-16: Confio 内部开发修复补丁。 2024-04-22: 通过 CosmWasm 建议通知列表和 X 公开宣布即将发布的补丁。 2024-04-24: 发布补丁。 2024-04-24: 创建 RustSec 建议数据库条目 (RUSTSEC-2024-0338)