Lumi Finance en Arbitrum pierde unos 270.000 dólares tras un ataque por una vulnerabilidad en un contrato inteligente
Resumen del mercado generado por IA
Según informes, Lumi Finance en Arbitrum perdió ~270k $ después de que un fallo en la lógica de validación de firmas de una cuenta inteligente ERC-4337 (Sodium) permitiera a un atacante eludir las comprobaciones y activar aprobaciones de tokens durante la validación de UserOperation. El incidente subraya los riesgos de seguridad de las cuentas inteligentes y de la abstracción de cuentas, lo que podría enfriar la confianza a corto plazo en las integraciones DeFi de Arbitrum que utilizan patrones de validación similares e incrementar el escrutinio sobre los flujos de wallet/paymaster y las auditorías de contratos.
Nivel de impacto
● Media
Activos afectados
ARB/USDT-1.63%
Ideas de IA · ARB/USDTIdeas de IA
▼ Bajista
Haz trading ahora
⚠️ Las ideas generadas por IA se basan en contenido de noticias y se proporcionan solo con fines informativos. No constituyen asesoramiento de inversión ni representan los puntos de vista de BingX. Invertir implica riesgos. Opera de forma responsable.
ChainCatcher informó de que, según un análisis de GoPlus, Lumi Finance en Arbitrum sufrió un ataque el 13 de julio que provocó pérdidas de aproximadamente 270.000 dólares. El origen estuvo en un fallo de lógica en la función validateUserOp del contrato de cuenta inteligente Sodium (ERC4337).
Durante la verificación de la firma al invocar _validateSignature, se ejecutó isValidSignatureNow pasando la dirección del atacante como parámetro de firmante. Tras fallar ECDSA.tryRecover, el contrato no revirtió la operación y, en su lugar, llamó a la función isValidSignature dentro del contrato del atacante, que superó la validación.
Aprovechando esta debilidad, el atacante ejecutó operaciones de aprobación (approve) de tokens durante la validación de UserOperation, obteniendo permisos de aprobación sobre tokens ERC20 de múltiples cuentas inteligentes sin el consentimiento del paymaster.