Lumi Finance บน Arbitrum ถูกโจมตี สูญราว 270,000 ดอลลาร์จากช่องโหว่สมาร์ตคอนแทรกต์

สรุปภาพรวมตลาดด้วย AI
มีรายงานว่า Lumi Finance บน Arbitrum สูญเสียเงินประมาณ ~$270k หลังจากข้อบกพร่องในตรรกะการตรวจสอบความถูกต้องของลายเซ็นของ smart account ตามมาตรฐาน ERC-4337 (Sodium) ทำให้ผู้โจมตีสามารถเลี่ยงการตรวจสอบและกระตุ้นการอนุมัติโทเค็นระหว่างการตรวจสอบความถูกต้องของ UserOperation ได้ เหตุการณ์นี้ตอกย้ำความเสี่ยงด้านความปลอดภัยของ smart-account และ account-abstraction ซึ่งอาจบั่นทอนความเชื่อมั่นในระยะใกล้ต่อการผสานรวม DeFi บน Arbitrum ที่ใช้รูปแบบการตรวจสอบความถูกต้องลักษณะเดียวกัน และเพิ่มการตรวจสอบอย่างเข้มงวดต่อโฟลว์ wallet/paymaster และการตรวจสอบสัญญา (contract audits)
ระดับผลกระทบ
● ปานกลาง
สินทรัพย์ที่ได้รับผลกระทบ
ARB/USDT-1.63%
ข้อมูลเชิงลึกจาก AI · ARB/USDTข้อมูลเชิงลึกจาก AI
▼ ขาลง
เทรดตอนนี้
⚠️ ข้อความเชิงลึกนี้สร้างขึ้นโดย AI โดยอ้างอิงจากเนื้อหาข่าวเพื่อใช้เป็นข้อมูลอ้างอิงเท่านั้น ไม่ถือเป็นคำแนะนำในการลงทุนหรือสะท้อนทัศนะของ BingX การลงทุนมีความเสี่ยง โปรดซื้อขายด้วยความระมัดระวัง
ChainCatcher รายงานว่า จากการวิเคราะห์ของ GoPlus พบว่า Lumi Finance บนเครือข่าย Arbitrum ถูกโจมตีเมื่อวันที่ 13 กรกฎาคม ส่งผลให้สูญเสียมูลค่าประมาณ 270,000 ดอลลาร์ ช่องโหว่เกิดจากความผิดพลาดเชิงตรรกะในฟังก์ชัน validateUserOp ของสัญญา Sodium smart account (ERC4337) ระหว่างการเรียกใช้ _validateSignature เพื่อตรวจสอบลายเซ็น ฟังก์ชัน isValidSignatureNow ถูกเรียกโดยส่งที่อยู่ของผู้โจมตีเป็นพารามิเตอร์ signer เมื่อ ECDSA.tryRecover ล้มเหลว สัญญาไม่ได้ revert แต่กลับไปเรียกฟังก์ชัน isValidSignature ภายในสัญญาของผู้โจมตี ทำให้ผ่านการตรวจสอบได้ ผู้โจมตีอาศัยช่องโหว่นี้ดำเนินการคำสั่ง Token approve ระหว่างขั้นตอนยืนยัน UserOperation ส่งผลให้ได้สิทธิ์อนุมัติ (approval) สำหรับโทเคน ERC20 จากสมาร์ตแอ็กเคานต์หลายรายการ โดยไม่ได้รับความยินยอมจาก paymaster