Arbitrum 上 Lumi Finance 遭智能合約漏洞攻擊,損失約 27 萬美元

AI 市場總結
Arbitrum 上的 Lumi Finance 據報因一個 ERC-4337 智能帳戶(Sodium)的簽名驗證邏輯漏洞而損失約 27 萬美元,該漏洞令攻擊者可繞過檢查,並在 UserOperation 驗證期間觸發代幣授權。該事件凸顯智能帳戶及帳戶抽象的安全風險,或會削弱市場對採用類似驗證模式的 Arbitrum DeFi 整合在短期內的信心,並加強對錢包/paymaster 流程及合約審計的審視。
影響等級
● 中
主要受影響標的
ARB/USDT-1.73%
AI 觀點 · ARB/USDTAI 觀點
▼ 看空
立即交易
⚠️ AI觀點僅為演算法基於新聞內容的自動生成分析,不構成投資建議,不代表BingX立場。市場有風險,投資需謹慎。
ChainCatcher 引述 GoPlus 分析指,Arbitrum 生態的 Lumi Finance 於 7 月 13 日遭攻擊,損失約 270,000 美元。事故源於 Sodium 智能帳戶合約(ERC4337)中 validateUserOp 函數的邏輯缺陷:在呼叫 _validateSignature 進行簽名驗證時,isValidSignatureNow 以攻擊者地址作為 signer 參數執行。當 ECDSA.tryRecover 驗證失敗後,合約未有回復(revert),反而轉而呼叫攻擊者合約內的 isValidSignature 函數,並被判定通過驗證。攻擊者遂於 UserOperation 驗證階段執行 Token approve 操作,在未經 paymaster 同意下,從多個智能帳戶取得多種 ERC20 代幣的授權權限。