Lumi Finance 遭攻击,损失约 27 万美元
2026年7月14日
< 1 分钟阅读
由 chaincatcher

分享:
ChainCatcher 消息,据 GoPlus 分析,Arbitrum 上的 Lumi Finance 于 7 月 13 日遭攻击,损失约 27 万美元。
漏洞源于 Sodium 智能账户合约(ERC-4337)中的 validateUserOp 函数在调用 _validateSignature 验证签名时存在逻辑缺陷——执行 isValidSignatureNow 时,signer 参数传递的是攻击者地址,调用 ECDSA.tryRecover 出错后未 revert,转而调用攻击合约中的 isValidSignature 函数并通过验证。攻击者利用该漏洞在 UserOperation 验证期间执行 Token approve 操作,未经支付方允许即从多个智能账户中获取 ERC20 代币的批准权限。
