GoPlus:Lumi Financeが襲撃された主な原因は、スマートアカウント契約の署名検証に欠陥があるためです。
GoPlus の分析によると、Arbitrum 上の Lumi Finance は 7 月 13 日に攻撃を受け、約 27 万ドルの損失を被りました。
脆弱性は Sodium スマートアカウントコントラクト(ERC-4337)の validateUserOp 関数にあり、_validateSignature を呼び出して署名を検証する際に論理的欠陥が存在しました。------ isValidSignatureNow を実行する際、signer パラメータに攻撃者のアドレスが渡され、ECDSA.tryRecover の呼び出しでエラーが発生した後、revert せずに攻撃コントラクト内の isValidSignature 関数を呼び出して検証に成功しました。攻撃者はこの脆弱性を利用して UserOperation の検証中に Token approve 操作を実行し、支払い側の許可なしに複数のスマートアカウントから ERC20 トークンの承認権を取得しました。






