Lumi Finance została zaatakowana, straty wynoszą około 270 tysięcy dolarów
ChainCatcher poinformował, że według analizy GoPlus, Lumi Finance na Arbitrum została zaatakowana 13 lipca, z stratami wynoszącymi około 270 tysięcy dolarów.
Luka wynikała z funkcji validateUserOp w inteligentnym kontrakcie Sodium (ERC-4337), która posiadała wadę logiczną podczas wywoływania _validateSignature do weryfikacji podpisu — podczas wykonywania isValidSignatureNow, parametr signer był przekazywany jako adres atakującego. Po błędnym wywołaniu ECDSA.tryRecover nie nastąpił revert, lecz zamiast tego wywołano funkcję isValidSignature w kontrakcie atakującego i przeszła ona weryfikację. Atakujący wykorzystał tę lukę, aby podczas weryfikacji UserOperation wykonać operację Token approve, uzyskując uprawnienia do zatwierdzania ERC20 tokenów z wielu inteligentnych kont bez zgody płatnika.
Zastrzeżenie: Treść tego artykułu odzwierciedla wyłącznie opinię autora i nie reprezentuje platformy w żadnym charakterze. Niniejszy artykuł nie ma służyć jako punkt odniesienia przy podejmowaniu decyzji inwestycyjnych.
Może Ci się również spodobać
Powell weźmie udział w przesłuchaniu Kongresu w sprawie polityki monetarnej o godzinie 22:00
