Lumi Finance na Arbitrum straciło ok. 270 tys. USD po ataku wykorzystującym lukę w smart kontrakcie

Podsumowanie rynku AI
Według doniesień Lumi Finance na Arbitrum straciło ~270 tys. USD po tym, jak błąd w logice walidacji podpisu inteligentnego konta ERC-4337 (Sodium) pozwolił atakującemu ominąć kontrole i wywołać zatwierdzenia tokenów podczas walidacji UserOperation. Incydent podkreśla ryzyka bezpieczeństwa inteligentnych kont i abstrakcji kont, potencjalnie osłabiając krótkoterminową pewność wobec integracji DeFi na Arbitrum korzystających z podobnych wzorców walidacji oraz zwiększając kontrolę nad przepływami wallet/paymaster i audytami kontraktów.
Wpływ
● Średni
Aktywa, których dotyczy
ARB/USDT-0.60%
Analiza AI · ARB/USDTAnaliza AI
▼ Spadkowy
Handluj teraz
⚠️ Analizy generowane przez AI opierają się na treściach z wiadomości i mają charakter informacyjny. Nie stanowią porady inwestycyjnej ani nie odzwierciedlają poglądów BingX. Inwestowanie wiąże się z ryzykiem. Handluj odpowiedzialnie.
Jak podaje ChainCatcher, powołując się na analizę GoPlus, 13 lipca doszło do ataku na Lumi Finance działające w sieci Arbitrum. Straty oszacowano na około 270 tys. USD. Źródłem incydentu była wada logiki w funkcji validateUserOp w kontrakcie smart account Sodium (ERC4337). Podczas weryfikacji podpisu w ramach wywołania _validateSignature uruchamiana była funkcja isValidSignatureNow, do której jako parametr signer przekazywano adres atakującego. Gdy ECDSA.tryRecover zakończyło się niepowodzeniem, kontrakt nie przerywał działania (nie wykonywał revert), lecz przechodził do wywołania isValidSignature w kontrakcie kontrolowanym przez napastnika, co pozwalało przejść walidację. Wykorzystując tę lukę, atakujący wykonywał operacje approve dla tokenów w trakcie walidacji UserOperation. W efekcie uzyskał uprawnienia zatwierdzania (approval) dla tokenów ERC20 z wielu smart kont, bez zgody paymastera.