Lumi Finance, na Arbitrum, perde cerca de US$ 270 mil em ataque ligado a falha de smart contract

Resumo de mercado por IA
A Lumi Finance na Arbitrum supostamente perdeu cerca de ~US$ 270 mil após uma falha na lógica de validação de assinatura de uma smart account ERC-4337 (Sodium) permitir que um invasor burlasse as verificações e acionasse aprovações de tokens durante a validação de UserOperation. O incidente ressalta os riscos de segurança de smart accounts e de account abstraction, potencialmente reduzindo a confiança no curto prazo em integrações DeFi da Arbitrum que utilizem padrões de validação semelhantes e aumentando o escrutínio sobre fluxos de wallet/paymaster e auditorias de contratos.
Nível de impacto
● Médio
Ativos afetados
ARB/USDT-1.63%
Insight de IA · ARB/USDTInsight de IA
▼ Baixista
Negociar agora
⚠️ Os insights gerados por IA são baseados em conteúdo de notícias e fornecidos apenas para fins informativos. Eles não constituem aconselhamento de investimento nem representam as opiniões da BingX. Investir envolve riscos. Negocie com responsabilidade.
Segundo a ChainCatcher, com base em análise da GoPlus, a Lumi Finance na Arbitrum foi alvo de um ataque em 13 de julho, com perdas estimadas em aproximadamente US$ 270 mil. A brecha teria origem em um erro de lógica na função validateUserOp do contrato de smart account Sodium (ERC4337). Durante a chamada de _validateSignature para checagem da assinatura, a função isValidSignatureNow foi executada com o endereço do atacante como parâmetro de signer. Após a falha de ECDSA.tryRecover, o contrato não fez revert e, em vez disso, acionou a função isValidSignature dentro do contrato do atacante, que retornou validação positiva. Com isso, o invasor conseguiu realizar operações de approve de tokens durante a validação de UserOperation, obtendo permissões de aprovação de ERC20 em múltiplas smart accounts sem o consentimento do paymaster.