Preise werden geladen…
🩸BEARISH

Summer.fi pausiert Vaults: Flash-Loan-Angriff zieht 6 Mio. $ ab

Der Verlust von $6M entspricht einem Drittel des TVL des Protokolls; der Fehler in der Buchhaltungslogik und das Zeitfenster vor dem Eingreifen der Guardians werden von Audit-Firmen und Einlegern gleichermaßen geprüft.

Summer.fi pausiert Vaults: Flash-Loan-Angriff zieht 6 Mio. $ ab
Summer.fi pausiert Vaults: Flash-Loan-Angriff zieht 6 Mio. $ ab
Summer.fi pausiert Vaults: Flash-Loan-Angriff zieht 6 Mio. $ ab
Summer.fi pausiert Vaults: Flash-Loan-Angriff zieht 6 Mio. $ ab

Das DeFi-Protokoll Summer.fi hat seine Lazy Summer Vaults pausiert, nachdem ein Exploit rund $6 Millionen aus der auf Ethereum basierenden Yield-Plattform abgezogen hat. Vor dem Angriff belief sich der Total Value Locked des Protokolls laut DeFiLlama auf etwa $22 Millionen, sodass der Verlust knapp einem Drittel aller hinterlegten Vermögenswerte entspricht.

Der Angreifer nutzte einen umfangreichen Flash Loan, der Berichten zufolge über Morpho bezogen wurde, um die Buchhaltungslogik der automatisierten USDC-Vaults von Lazy Summer zu manipulieren. Durch das Aufblähen der ausgewiesenen Gesamtbestände konnte der Exploiter gegen diesen künstlich erhöhten Wert einlösen und einen Nettogewinn realisieren. Die gestohlenen Mittel wurden auf Curve in DAI umgewandelt, bevor sie laut On-Chain-Analyse in die Wallet des Angreifers flossen.

Die Blockchain-Sicherheitsfirma Blockaid wies zuerst auf die verdächtigen Aktivitäten hin, auch PeckShield und CertiK meldeten den Vorfall. Summer.fi bestätigte die Untersuchung und erklärte, die Protokoll-Guardians hätten die betroffenen Vaults pausiert, um weitere Verluste zu stoppen. Der DeFi-Forscher Bhari führte den Fehler auf einen Code-Defekt zurück, der das Überschreiben der Buchhaltung ermöglichte.

Warum es wichtig ist

Lazy Summer ist ein automatisierter Yield-Router, der Nutzermittel über verschiedene Kreditmärkte hinweg anlegt, darunter Aave und Morpho, und Positionen im Namen der Einleger rebalanciert, um höhere Renditen zu erzielen. Ein Flash-Loan-Angriff, der die Buchhaltung und nicht direkt die Preis-Oracles ausnutzt, gehört zu den schwierigeren Fehlermodi, die es zu modellieren gilt, da das Kapital des Angreifers nur kurzzeitig vorhanden sein muss, der aufgeblähte Zustand aber lange genug bestehen bleiben muss, um eine Einlösung zu ermöglichen. Dass das Protokoll mit $22M TVL in einen Fehler dieser Form lief, wird auf die gesamte Kategorie der Yield-Aggregatoren abstrahlen, in der Einleger weitgehend Code unterzeichnen, den sie nicht lesen.

Auswirkungen auf den Markt

Der SUMR-Token von Summer.fi verlor nach Bekanntwerden des Exploits mehr als 18% und preiste damit die unmittelbaren Auswirkungen auf Reputation und Treasury ein. Vergleichbare Vorfälle bei Yield-Routern, darunter der Euler-Finance-Hack von 2023 und die phishing-getriebenen Freigaben bei mehreren Aggregatoren im Jahr 2024, führten zu wochenlangem Abzugsdruck und einer teilweisen Erholung, sobald Post-Mortems und Behebungspläne veröffentlicht wurden.

Verwandte Tokens
$ETH

Häufig gestellte Fragen

  1. Was ist beim Summer.fi-Lazy-Summer-Exploit passiert?

    Ein Angreifer nutzte einen Flash Loan, der Berichten zufolge über Morpho bezogen wurde, um die Buchhaltungslogik der automatisierten USDC-Vaults von Lazy Summer zu manipulieren. Durch das Aufblähen der ausgewiesenen Gesamtbestände löste der Exploiter gegen den überhöhten Wert ein und erzielte einen Gewinn von rund $6M.

  2. Wie hoch war der Verlust und wie groß war das Protokoll?

    Aus dem Protokoll wurden rund $6 Millionen entwendet, das laut DeFiLlama vor dem Angriff etwa $22 Millionen an Total Value Locked hielt. Der Verlust entspricht knapp einem Drittel der hinterlegten Vermögenswerte.

  3. Welche Sicherheitsfirmen haben den Vorfall gemeldet?

    Die Blockchain-Sicherheitsfirma Blockaid wies zuerst auf die verdächtigen Aktivitäten hin. Auch PeckShield und CertiK meldeten den Vorfall. Summer.fi bestätigte die laufenden Untersuchungen und erklärte, die Protokoll-Guardians hätten die betroffenen Vaults pausiert.

  4. Was ist mit dem SUMR-Token von Summer.fi passiert?

    SUMR verlor nach Bekanntwerden des Exploits mehr als 18% und preiste damit die unmittelbaren Auswirkungen des Vorfalls auf Reputation und Treasury ein.

  5. Wie wurden die gestohlenen Mittel nach dem Exploit bewegt?

    Die On-Chain-Analyse zeigt, dass die gestohlenen Mittel auf Curve in DAI umgewandelt und anschließend in die Wallet des Angreifers transferiert wurden, was die Rückgewinnung erschwert.

Quellenangabe
Aggregiert von CoinDesk · Verifiziert · Zuletzt aktualisiert vor 1h
Original öffnen →