BTC $62,632.23 -0.62%
ETH $1,787.96 +0.37%
BNB $569.73 +0.11%
XRP $1.06 -0.83%
SOL $75.03 -1.69%
TRX $0.3246 -1.57%
DOGE $0.0720 -0.32%
ADA $0.1585 -0.68%
BCH $236.21 -0.82%
LINK $7.92 -0.76%
HYPE $63.57 -2.18%
AAVE $96.04 +0.84%
SUI $0.7311 -0.11%
XLM $0.1780 -3.05%
ZEC $506.32 -1.67%
BTC $62,632.23 -0.62%
ETH $1,787.96 +0.37%
BNB $569.73 +0.11%
XRP $1.06 -0.83%
SOL $75.03 -1.69%
TRX $0.3246 -1.57%
DOGE $0.0720 -0.32%
ADA $0.1585 -0.68%
BCH $236.21 -0.82%
LINK $7.92 -0.76%
HYPE $63.57 -2.18%
AAVE $96.04 +0.84%
SUI $0.7311 -0.11%
XLM $0.1780 -3.05%
ZEC $506.32 -1.67%

GoPlus:Lumi Finance 遭袭主因系智能账户合约签名验证存在缺陷

2026-07-14 16:33:58
收藏

ChainCatcher 消息,据 GoPlus 分析,Arbitrum 上的 Lumi Finance 于 7 月 13 日遭攻击,损失约 27 万美元。

漏洞源于 Sodium 智能账户合约(ERC-4337)中的 validateUserOp 函数在调用 _validateSignature 验证签名时存在逻辑缺陷——执行 isValidSignatureNow 时,signer 参数传递的是攻击者地址,调用 ECDSA.tryRecover 出错后未 revert,转而调用攻击合约中的 isValidSignature 函数并通过验证。攻击者利用该漏洞在 UserOperation 验证期间执行 Token approve 操作,未经支付方允许即从多个智能账户中获取 ERC20 代币的批准权限。

app_icon
ChainCatcher 与创新者共建Web3世界