GoPlus: Lumi Finance가 공격당한 주된 원인은 스마트 계좌 계약 서명 검증에 결함이 존재하기 때문입니다
GoPlus 분석에 따르면, Arbitrum의 Lumi Finance는 7월 13일 공격을 받아 약 27만 달러의 손실을 입었습니다.
취약점은 Sodium 스마트 계정 계약(ERC-4337)의 validateUserOp 함수에서 _validateSignature를 호출할 때 서명을 검증하는 논리 결함에서 발생했습니다. ------ isValidSignatureNow를 실행할 때, signer 매개변수로 공격자의 주소가 전달되었고, ECDSA.tryRecover 호출에서 오류가 발생한 후 revert되지 않고, 공격 계약의 isValidSignature 함수를 호출하여 검증을 통과했습니다. 공격자는 이 취약점을 이용하여 UserOperation 검증 중 Token approve 작업을 실행하고, 지불자의 허락 없이 여러 스마트 계정에서 ERC20 토큰의 승인 권한을 획득했습니다.
관련 태그






