Lumi Finance в мережі Arbitrum зазнав атаки на $270 тис. через вразливість смартконтракту
Ринкове зведення ШІ
Повідомляється, що Lumi Finance в мережі Arbitrum втратила близько $270 тис. після того, як вада в логіці перевірки дійсності підпису смарт-акаунта ERC-4337 (Sodium) дозволила зловмиснику обійти перевірки та ініціювати схвалення токенів під час валідації UserOperation. Інцидент підкреслює ризики безпеки смарт-акаунтів та абстракції акаунтів, потенційно послаблюючи короткострокову довіру до DeFi-інтеграцій Arbitrum, які використовують подібні шаблони валідації, і посилюючи увагу до потоків wallet/paymaster та аудитів контрактів.
Рівень впливу
● Середній
Активи, яких стосується
ARB/USDT-1.57%
Інсайт ШІ · ARB/USDTІнсайт ШІ
▼ Ведмежий
Торгувати
⚠️ Інсайти, згенеровані ШІ, ґрунтуються на новинних матеріалах і надаються виключно з інформаційною метою. Вони не є інвестиційною порадою та не відображають поглядів BingX. Інвестування пов’язане з ризиком. Будь ласка, торгуйте відповідально.
За даними ChainCatcher із посиланням на аналіз GoPlus, 13 липня протокол Lumi Finance в екосистемі Arbitrum став жертвою атаки, внаслідок якої втрати оцінили приблизно у $270 000.
Причиною став логічний дефект у функції validateUserOp смарт-акаунта Sodium (ERC4337). Під час перевірки підпису через _validateSignature виконувалася функція isValidSignatureNow, куди як параметр signer передавалася адреса зловмисника. Після невдалої спроби ECDSA.tryRecover контракт не робив revert і натомість викликав isValidSignature у контракті атакувальника, який успішно проходив валідацію.
Скориставшись цим, зловмисник під час валідації UserOperation ініціював операції approve для токенів, отримавши права на схвалення ERC20 з кількох смарт-акаунтів без згоди paymaster.