Arbitrum上のLumi Finance、スマートコントラクト脆弱性で約27万ドルの被害
AI マーケットサマリー
Arbitrum上のLumi Financeは、ERC-4337のスマートアカウント(Sodium)における署名検証ロジックの欠陥により攻撃者がチェックを回避し、UserOperationの検証中にトークン承認を実行できたことで、約27万ドルの損失を被ったと報じられた。この事案はスマートアカウントおよびアカウント・アブストラクションのセキュリティリスクを浮き彫りにし、同様の検証パターンを用いるArbitrumのDeFi統合に対する短期的な信頼を損ない得るほか、ウォレット/ペイマスターのフローやコントラクト監査への精査を強める可能性がある。
影響度
● 中
影響を受ける資産
ARB/USDT-1.63%
AI インサイト · ARB/USDTAI インサイト
▼ 弱気
今すぐ取引
⚠️ AI によって生成されたインサイトはニュースコンテンツに基づくものであり、情報提供のみを目的としています。投資助言を構成するものではなく、BingX の見解を示すものでもありません。投資にはリスクが伴います。責任ある取引を心がけてください。
ChainCatcherが伝えた。GoPlusの分析によると、Arbitrum上で運営されるLumi Financeが7月13日に攻撃を受け、被害額は約27万ドルに上った。
原因は、Sodiumスマートアカウント(ERC4337)のvalidateUserOp関数にあるロジック上の欠陥。署名検証のために_validateSignatureを呼び出す過程で、isValidSignatureNowの署名者(signer)パラメータに攻撃者のアドレスが渡された。ECDSA.tryRecoverが失敗してもコントラクトはrevertせず、攻撃者側コントラクト内のisValidSignatureを呼び出した結果、検証が通過したという。
攻撃者はこの不備を突き、UserOperationの検証中にトークンのapproveを実行。ペイマスターの同意がないまま、複数のスマートアカウントからERC20トークンの承認権限を取得した。