Lumi Finance trên Arbitrum bị tấn công 270.000 USD do lỗ hổng hợp đồng thông minh

Tóm tắt thị trường bằng AI
Lumi Finance trên Arbitrum được cho là đã mất khoảng ~270k USD sau khi một lỗ hổng trong logic xác thực chữ ký của smart account ERC-4337 (Sodium) cho phép kẻ tấn công bỏ qua các bước kiểm tra và kích hoạt phê duyệt token trong quá trình xác thực UserOperation. Sự cố này nhấn mạnh các rủi ro bảo mật của smart account và account abstraction, có thể làm suy giảm niềm tin trong ngắn hạn đối với các tích hợp DeFi trên Arbitrum sử dụng các mô thức xác thực tương tự và làm gia tăng mức độ giám sát đối với các luồng ví/paymaster và hoạt động kiểm toán hợp đồng.
Mức ảnh hưởng
● Trung bình
Tài sản bị ảnh hưởng
ARB/USDT-1.63%
Quan điểm AI · ARB/USDTQuan điểm AI
▼ Giá giảm
Khám phá ngay
⚠️ Nhận định từ AI được tổng hợp từ tin tức và chỉ có giá trị tham khảo. Đây không phải là lời khuyên đầu tư và không thể hiện quan điểm của BingX. Đầu tư luôn đi kèm rủi ro. Vui lòng giao dịch có trách nhiệm.
Theo ChainCatcher, phân tích của GoPlus cho biết Lumi Finance trên Arbitrum đã bị tấn công ngày 13/7, gây thiệt hại khoảng 270.000 USD. Sự cố bắt nguồn từ lỗi logic trong hàm validateUserOp của hợp đồng ví thông minh Sodium (chuẩn ERC4337). Trong quá trình gọi _validateSignature để kiểm tra chữ ký, hàm isValidSignatureNow được thực thi với địa chỉ của kẻ tấn công được truyền vào tham số signer. Khi ECDSA.tryRecover thất bại, hợp đồng không revert mà tiếp tục gọi hàm isValidSignature trong chính hợp đồng của kẻ tấn công và kết quả vẫn vượt qua xác thực. Tận dụng lỗ hổng này, kẻ tấn công đã thực hiện các thao tác Token approve ngay trong giai đoạn xác thực UserOperation, qua đó giành quyền phê duyệt đối với token ERC20 từ nhiều ví thông minh mà không có sự chấp thuận của paymaster.