SlowMist|2026年07月13日 14:07
SlowMist TI 警报
@Lumi_Finance 损失:约 $264k
根本原因:Lumi 智能账户存在一个漏洞,允许在 UserOperation 验证期间作为副作用执行代币授权操作。由于验证逻辑不当,攻击者控制的支付方可以在验证阶段触发授权操作,从多个智能账户获取 ERC20 授权,而无需用户明确意图。
攻击者:0xce1a3bb0b98d0d90c7dd0620ab86c9a771888d88
受害者:多个 Lumi 智能账户在 UserOp 验证期间因意外的代币授权受到影响
恶意合约:0x56362412ae17cac443aafbab4289946ad958e8a1
攻击者利用 Lumi 智能账户 UserOperation 验证逻辑中的漏洞,通过验证阶段的副作用从多个钱包获取代币授权。随后,攻击者使用恶意的清扫合约批量转移已授权的 ERC20 代币,将盗取的资产兑换成 ETH,并将收益转移到攻击者控制的地址。
由 SlowMist.AI 提供支持
交易链接:
https://((arbiscan.io))/tx/0x630654fb1c8914405cf81bb02f091b049f19403a152f624f7b8a00c7724c6604
https://((arbiscan.io))/tx/0x020995ec0b5daafe8fab481e33b1b52fdbd6423578060a1f73fd2a9b9fb0ea90
分享至:
脉络
热门快讯
APP下载
X
Telegram
复制链接