据 Woofun AI 消息,Arbitrum 网络于 7 月 13 日遭遇黑客攻击,损失金额约为 27 万美元。此次漏洞源于 Sodium 智能账户合约中 ERC-4337 标准的 validateUserOp 函数。在执行签名验证时,签名者参数被错误设置为攻击者地址。
尽管 ECDSA.tryRecover 调用失败,但系统未触发回滚,反而调用了攻击者合约中的 isValidSignature 函数,致使验证通过并造成资金损失。