El protocolo de finanzas descentralizadas Summer.fi pausó sus vaults Lazy Summer después de que un exploit drenara aproximadamente 6 millones de dólares de la plataforma de rendimiento basada en Ethereum. El protocolo contaba con unos 22 millones de dólares en valor total bloqueado antes del ataque, según DeFiLlama, lo que significa que la pérdida representa cerca de un tercio del total de activos depositados.
El atacante utilizó un préstamo flash de gran tamaño, aparentemente obtenido a través de Morpho, para manipular la lógica contable de los vaults automatizados en USDC de Lazy Summer. Al inflar los activos totales declarados, el explotador pudo canjear contra la cifra inflada y obtener un beneficio neto. Los fondos robados se convirtieron a DAI en Curve antes de ser trasladados a la wallet del atacante, según el análisis on-chain.
La firma de seguridad blockchain Blockaid fue la primera en señalar la actividad sospechosa, y también PeckShield y CertiK reportaron el incidente. Summer.fi confirmó la investigación y señaló que los guardianes del protocolo habían pausado los vaults afectados para detener más pérdidas. El investigador de DeFi Bhari atribuyó el fallo a un defecto de código que permitió que la anulación contable prosperara.
Por qué importa
Lazy Summer es un enrutador automatizado de rendimiento que deposita fondos de los usuarios en mercados de préstamos, incluidos Aave y Morpho, rebalanceando posiciones en nombre de los depositantes para buscar mayores retornos. Un ataque con préstamo flash que explota la contabilidad en lugar de una manipulación directa del oráculo de precios se encuentra entre los modos de fallo más difíciles de modelar, porque exige que el capital del atacante sea transitorio pero que el estado inflado persista lo suficiente para permitir el canje. El hecho de que el protocolo llegara a este tipo de vulnerabilidad con 22 millones de dólares en TVL pesará sobre toda la categoría de agregadores de rendimiento, donde los depositantes, en gran medida, respaldan código que no leen.
Impacto en el mercado
El token SUMR de Summer.fi cayó más de un 18% tras conocerse el exploit, descontando el impacto inmediato en reputación y tesorería. Incidentes comparables en enrutadores de rendimiento, incluido el hackeo de Euler Finance en 2023 y las aprobaciones驱动 por phishing de 2024 sobre varios agregadores, vinieron seguidos de semanas de presión de retiradas y de una recuperación parcial una vez que se publicaron las post mortem y los planes de remediación.
Preguntas frecuentes
-
¿Qué ocurrió en el exploit de Lazy Summer en Summer.fi?
Un atacante usó un préstamo flash, aparentemente obtenido a través de Morpho, para manipular la lógica contable de los vaults automatizados en USDC de Lazy Summer. Al inflar los activos totales declarados, el explotador canjeó contra la cifra inflada y obtuvo aproximadamente 6 millones de dólares de beneficio.
-
¿Cuánto se perdió y cuál era el tamaño del protocolo?
Se drenaron unos 6 millones de dólares del protocolo, que contaba con aproximadamente 22 millones de dólares en valor total bloqueado antes del ataque, según DeFiLlama. La pérdida representa cerca de un tercio de los activos depositados.
-
¿Qué firmas de seguridad reportaron el incidente?
La firma de seguridad blockchain Blockaid fue la primera en señalar la actividad sospechosa. PeckShield y CertiK también reportaron el incidente. Summer.fi confirmó que estaba investigando e indicó que los guardianes del protocolo pausaron los vaults afectados.
-
¿Qué pasó con el token SUMR de Summer.fi?
SUMR cayó más de un 18% tras destaparse el exploit, descontando el impacto inmediato en reputación y tesorería derivado del incidente.
-
¿Cómo se movieron los fondos robados tras el exploit?
El análisis on-chain muestra que los fondos robados se convirtieron a DAI en Curve antes de ser transferidos a la wallet del atacante, lo que complica las tareas de recuperación.