CVE-2025-54427

Polkadot Frontier is an Ethereum and EVM compatibility layer for Polkadot and Substrate. The extrinsic note_min_gas_price_target is an inherent extrinsic, meaning only the block producer can call it. To ensure correctness, the ProvideInherent trait should be implemented for each inherent, which includes the check_inherent call. This allows other nodes to verify if the input (in this case, the target value) is correct. However, prior to commit a754b3d, the check_inherent function has not been implemented for note_min_gas_price_target. This lets the block producer set the target value without verification. The target is then used to set the MinGasPrice, which has an upper and lower bound defined in the on_initialize hook. The block producer can set the target to the upper bound. Which also increases the upper and lower bounds for the next block. Over time, this could result in continuously raising the gas price, making contract execution too expensive and ineffective for users. An attacker could use this flaw to manipulate the gas price, potentially leading to significantly inflated transaction fees. Such manipulation could render contract execution prohibitively expensive for users, effectively resulting in a denial-of-service condition for the network. This is fixed in version a754b3d.
CVSS

No CVSS.

Configurations

No configuration.

History

29 Jul 2025, 14:14

Type Values Removed Values Added
Summary
  • (es) Polkadot Frontier es una capa de compatibilidad con Ethereum y EVM para Polkadot y Substrate. La función extrínseca note_min_gas_price_target es inherente, lo que significa que solo el productor del bloque puede invocarla. Para garantizar la corrección, se debe implementar el atributo ProvideInherent para cada inherente, lo que incluye la llamada check_inherent. Esto permite que otros nodos verifiquen si la entrada (en este caso, el valor objetivo) es correcta. Sin embargo, antes del commit a754b3d, la función check_inherent no se había implementado para note_min_gas_price_target. Esto permite al productor del bloque establecer el valor objetivo sin verificación. El objetivo se utiliza entonces para establecer el MinGasPrice, que tiene un límite superior e inferior definidos en el gancho on_initialize. El productor del bloque puede establecer el objetivo en el límite superior. Esto también aumenta los límites superior e inferior para el siguiente bloque. Con el tiempo, esto podría resultar en un aumento continuo del precio del gas, encareciendo la ejecución del contrato e ineficaz para los usuarios. Un atacante podría usar esta vulnerabilidad para manipular el precio del gas, lo que podría resultar en tarifas de transacción significativamente infladas. Dicha manipulación podría encarecer la ejecución del contrato de forma prohibitiva para los usuarios, lo que resultaría en una denegación de servicio para la red. Esto se corrigió en la versión a754b3d.

28 Jul 2025, 21:15

Type Values Removed Values Added
New CVE

Information

Published : 2025-07-28 21:15

Updated : 2025-07-29 14:14


NVD link : CVE-2025-54427

Mitre link : CVE-2025-54427

CVE.ORG link : CVE-2025-54427


JSON object : View

Products Affected

No product.

CWE
CWE-682

Incorrect Calculation

CWE-754

Improper Check for Unusual or Exceptional Conditions