Lumi Finance di Arbitrum Diretas US$270.000, Celah Kontrak Pintar Jadi Pemicu

Ringkasan Pasar AI
Lumi Finance di Arbitrum dilaporkan kehilangan sekitar $270k setelah sebuah cacat logika validasi tanda tangan pada smart account ERC-4337 (Sodium) memungkinkan penyerang melewati pemeriksaan dan memicu persetujuan token selama validasi UserOperation. Insiden ini menegaskan risiko keamanan smart account dan account abstraction, berpotensi meredam kepercayaan dalam jangka pendek terhadap integrasi DeFi Arbitrum yang menggunakan pola validasi serupa serta meningkatkan pengawasan terhadap alur wallet/paymaster dan audit kontrak.
Level dampak
● Sedang
Aset terdampak
ARB/USDT-1.57%
Wawasan AI · ARB/USDTWawasan AI
▼ Bearish
Trade sekarang
⚠️ Wawasan yang dihasilkan AI didasarkan pada konten berita dan disediakan untuk tujuan informasi saja. Wawasan ini bukan nasihat investasi dan tidak mencerminkan pandangan BingX. Investasi melibatkan risiko. Harap trade secara bertanggung jawab.
ChainCatcher melaporkan, berdasarkan analisis GoPlus, Lumi Finance yang beroperasi di Arbitrum mengalami serangan pada 13 Juli dengan kerugian sekitar US$270.000. Insiden ini dipicu cacat logika pada fungsi validateUserOp di kontrak akun pintar Sodium (ERC4337). Saat proses verifikasi tanda tangan memanggil _validateSignature, fungsi isValidSignatureNow dijalankan dengan alamat penyerang sebagai parameter penandatangan (signer). Ketika ECDSA.tryRecover gagal, kontrak tidak melakukan revert. Sebaliknya, kontrak memanggil fungsi isValidSignature pada kontrak milik penyerang dan hasilnya lolos validasi. Dengan memanfaatkan celah tersebut, penyerang mengeksekusi operasi approve token pada tahap validasi UserOperation. Dampaknya, penyerang memperoleh hak persetujuan (approval) atas token ERC20 dari sejumlah akun pintar tanpa persetujuan paymaster.