اختراق Lumi Finance على شبكة Arbitrum يكلّف 270 ألف دولار بسبب ثغرة في عقد ذكي

ملخص سوق AI
أفادت تقارير بأن Lumi Finance على Arbitrum خسرت نحو 270 ألف دولار بعد أن سمح خلل في منطق التحقق من صحة التوقيع في حساب ذكي ERC-4337 (Sodium) لمهاجم بتجاوز عمليات التحقق وتفعيل موافقات الرموز أثناء التحقق من UserOperation. يسلط الحادث الضوء على مخاطر أمن الحسابات الذكية وتجريد الحساب، وقد يضعف الثقة على المدى القريب في تكاملات DeFi على Arbitrum التي تستخدم أنماط تحقق مماثلة، ويزيد التدقيق في تدفقات المحفظة/الـpaymaster وعمليات تدقيق العقود.
مستوى التأثير
● متوسط
الأصول المتأثرة
ARB/USDT-1.57%
رؤية AI · ARB/USDTرؤية AI
▼ هابط
تداول الآن
⚠️ الرؤى التي يُنشئها AI مبنية على محتوى الأخبار، وتُقدَّم لأغراض معلوماتية فقط. لا تُشكّل نصيحة استثمارية، ولا تعبّر عن آراء BingX. ينطوي الاستثمار على مخاطر. يُرجى التداول بمسؤولية.
أفاد تقرير ChainCatcher، استناداً إلى تحليل GoPlus، بأن بروتوكول Lumi Finance على شبكة Arbitrum تعرّض لهجوم في 13 يوليو أسفر عن خسائر تُقدَّر بنحو 270 ألف دولار. وبحسب التحليل، تعود الثغرة إلى خطأ منطقي في دالة validateUserOp ضمن عقد حساب Sodium الذكي (ERC4337). فعند استدعاء _validateSignature للتحقق من التوقيع، جرى تنفيذ الدالة isValidSignatureNow مع تمرير عنوان المهاجم بوصفه معلمة الموقّع. وبعد فشل ECDSA.tryRecover، لم يقم العقد بإرجاع العملية (revert)، بل استدعى دالة isValidSignature داخل عقد المهاجم، ما أدى إلى تمرير التحقق. واستغل المهاجم هذه الثغرة لتنفيذ عمليات Token approve أثناء مرحلة التحقق من UserOperation، ما منحه صلاحيات اعتماد (approval) لرموز ERC20 من عدة حسابات ذكية دون موافقة الـ paymaster.