Chargement des prix…
🩸BEARISH

Summer.fi suspend ses coffres après un exploit flash loan de 6M$

La perte de 6 M$ représente un tiers de la TVL du protocole. Le défaut de logique comptable et la fenêtre de non-pause avant l'action des guardians seront scrutés à parts égales par les cabinets d'audit et les déposants.

Summer.fi suspend ses coffres après un exploit flash loan de 6M$
Summer.fi suspend ses coffres après un exploit flash loan de 6M$
Summer.fi suspend ses coffres après un exploit flash loan de 6M$
Summer.fi suspend ses coffres après un exploit flash loan de 6M$

Le protocole de finance décentralisée Summer.fi a suspendu ses coffres Lazy Summer après qu'un exploit a drainé environ 6 millions de dollars de la plateforme de rendement basée sur Ethereum. Le protocole détenait environ 22 millions de dollars en valeur totale verrouillée avant l'attaque, selon DeFiLlama, ce qui signifie que la perte représente près d'un tiers de l'ensemble des actifs déposés.

L'attaquant a utilisé un important flash loan, apparemment obtenu via Morpho, pour manipuler la logique comptable des coffres USDC automatisés de Lazy Summer. En gonflant les actifs totaux déclarés, l'exploiteur a pu racheter sur la base de ce chiffre gonflé et en tirer un profit net. Les fonds volés ont été convertis en DAI sur Curve avant d'être transférés vers le portefeuille de l'attaquant, selon une analyse on-chain.

La société de sécurité blockchain Blockaid a la première signalé l'activité suspecte, suivie par PeckShield et CertiK qui ont également rapporté l'incident. Summer.fi a confirmé l'enquête et indiqué que les guardians du protocole avaient suspendu les coffres affectés pour stopper les pertes. Le chercheur DeFi Bhari a relié la faille à un défaut de code ayant permis la réussite de la surcharge comptable.

Pourquoi c'est important

Lazy Summer est un routeur de rendement automatisé qui place les fonds des utilisateurs sur plusieurs marchés de prêt, notamment Aave et Morpho, en rééquilibrant les positions pour le compte des déposants afin de追求er des rendements plus élevés. Un exploit par flash loan qui s'attaque à la logique comptable plutôt qu'à la manipulation directe d'un oracle de prix fait partie des modes de défaillance les plus difficiles à modéliser, car il faut que le capital de l'attaquant soit transitoire tout en maintenant l'état gonflé suffisamment longtemps pour permettre le rachat. Le fait que le protocole ait porté 22 M$ de TVL jusqu'à une faille de cette nature pèsera sur l'ensemble de la catégorie des agrégateurs de rendement, où les déposants souscrivent en grande majorité du code qu'ils ne lisent pas.

Impact sur le marché

Le token SUMR de Summer.fi a chuté de plus de 18 % après la révélation de l'exploit, intégrant l'impact immédiat sur la réputation et la trésorerie. Des incidents comparables sur des routeurs de rendement, dont le piratage d'Euler Finance en 2023 et les approbations liées au phishing de 2024 sur plusieurs agrégateurs, ont été suivis de plusieurs semaines de pression de retrait et d'une reprise partielle une fois les post-mortems et plans de remédiation rendus publics.

Glossaire

Tokens associés
$ETH

Questions fréquemment posées

  1. Que s'est-il passé lors de l'exploit Lazy Summer de Summer.fi ?

    Un attaquant a utilisé un flash loan, apparemment obtenu via Morpho, pour manipuler la logique comptable des coffres USDC automatisés de Lazy Summer. En gonflant les actifs totaux déclarés, l'exploiteur a racheté sur la base du chiffre gonflé, empochant environ 6 M$ de profit.

  2. Combien a été perdu et quelle était la taille du protocole ?

    Environ 6 millions de dollars ont été drainés du protocole, qui affichait environ 22 millions de dollars en valeur totale verrouillée avant l'attaque, selon DeFiLlama. La perte représente près d'un tiers des actifs déposés.

  3. Quelles sociétés de sécurité ont signalé l'incident ?

    La société de sécurité blockchain Blockaid a la première signalé l'activité suspecte. PeckShield et CertiK ont également rapporté l'incident. Summer.fi a confirmé enquêter et indiqué que les guardians du protocole avaient suspendu les coffres affectés.

  4. Qu'est-il arrivé au token SUMR de Summer.fi ?

    SUMR a chuté de plus de 18 % après la découverte de l'exploit, intégrant l'impact immédiat en termes de réputation et de trésorerie.

  5. Comment les fonds volés ont-ils été déplacés après l'exploit ?

    L'analyse on-chain montre que les fonds volés ont été convertis en DAI sur Curve avant d'être transférés vers le portefeuille de l'attaquant, ce qui complique les efforts de récupération.

Attribution de la source
Agrégé de CoinDesk · Vérifié · Dernière mise à jour il y a 1h
Ouvrir l'original →