Lumi Finance в сети Arbitrum потерял около $270 тыс. из-за уязвимости в смарт-контракте
Сводка рынка от ИИ
Сообщается, что Lumi Finance в сети Arbitrum потерял(а) около $270 тыс. после того, как из-за изъяна в логике проверки подписи смарт-аккаунта ERC-4337 (Sodium) злоумышленник смог обойти проверки и инициировать одобрения токенов в ходе валидации UserOperation. Инцидент подчёркивает риски безопасности смарт-аккаунтов и account abstraction, потенциально снижая краткосрочную уверенность в DeFi-интеграциях Arbitrum, использующих схожие паттерны валидации, и усиливая внимание к потокам wallet/paymaster и аудитам контрактов.
Степень влияния
● Средний
Затронутые активы
ARB/USDT-1.63%
Инсайт ИИ · ARB/USDTИнсайт ИИ
▼ Медвежий
Торговать
⚠️ Инсайты, сгенерированные ИИ, основаны на новостном контенте и предоставляются исключительно в информационных целях. Они не являются инвестиционной рекомендацией и не отражают позицию BingX. Торговля сопряжена с риском. Пожалуйста, торгуйте ответственно.
По данным ChainCatcher со ссылкой на анализ GoPlus, 13 июля протокол Lumi Finance в сети Arbitrum подвергся атаке, в результате которой ущерб составил около $270 000.
Как отмечается в отчёте, первопричиной стала логическая ошибка в функции validateUserOp смарт-аккаунта Sodium (ERC4337). При проверке подписи через _validateSignature выполнялась isValidSignatureNow, при этом в качестве параметра signer подставлялся адрес атакующего. После неуспешного ECDSA.tryRecover контракт не откатывал транзакцию (не делал revert), а вместо этого вызывал функцию isValidSignature в контракте атакующего, где проверка проходила успешно.
Используя эту уязвимость, злоумышленник выполнял операции approve для токенов на этапе валидации UserOperation и получал права на распоряжение ERC20-токенами из нескольких смарт-аккаунтов без согласия paymaster.