GoPlus:Lumi Finance 遭袭主因系智能账户合约签名验证存在缺陷

OKXer
ChainCatcher 消息,据 GoPlus 分析,Arbitrum 上的 Lumi Finance 于 7 月 13 日遭攻击,损失约 27 万美元。漏洞源于 Sodium 智能账户合约(ERC-4337)中的 validateUserOp 函数在调用 _validateSignature 验证签名时存在逻辑缺陷——执行 isValidSignatureNow 时,signer 参数传递的是攻击者地址,调用 ECDSA.tryRecover 出错后未 revert,转而调用攻击合约中的 isValidSignature 函数并通过验证。攻击者利用该漏洞在 UserOperation 验证期间执行 Token approve 操作,未经支付方允许即从多个智能账户中获取 ERC20 代币的批准权限。

B安/欧意/大门交易所永久入口:点击进入加密货币的世界

OK交易所是全球排名前三的数字货币交易平台,非常符合国人操作,买卖比特币就上OK交易平台

目录[+]