A carregar preços…
🩸BEARISH

Summer.fi suspende vaults após exploit de 6M USD em flash loan

A perda de 6 milhões de dólares representa um terço do TVL do protocolo; a falha na lógica contabilística e a janela sem pausa antes da atuação dos guardians vão ser alvo de análise igual por parte das auditorias e dos depositantes.

Summer.fi suspende vaults após exploit de 6M USD em flash loan
Summer.fi suspende vaults após exploit de 6M USD em flash loan
Summer.fi suspende vaults após exploit de 6M USD em flash loan
Summer.fi suspende vaults após exploit de 6M USD em flash loan

O protocolo de finanças descentralizadas Summer.fi suspendeu as suas vaults Lazy Summer após uma exploração ter drenado cerca de 6 milhões de dólares da plataforma de rendimento baseada em Ethereum. O protocolo tinha cerca de 22 milhões de dólares em valor total bloqueado antes do ataque, segundo a DeFiLlama, o que significa que a perda representa perto de um terço de todos os ativos depositados.

O atacante utilizou um flash loan de elevado montante, supostamente obtido através da Morpho, para manipular a lógica contabilística das vaults automatizadas em USDC da Lazy Summer. Ao inflacionar os ativos totais reportados, o explorador conseguiu resgatar contra esse valor inflacionado, obtendo um lucro líquido. Os fundos roubados foram convertidos em DAI na Curve antes de serem transferidos para a carteira do atacante, de acordo com análise on-chain.

A empresa de segurança blockchain Blockaid foi a primeira a sinalizar a atividade suspeita, com a PeckShield e a CertiK também a reportarem o incidente. A Summer.fi confirmou a investigação e indicou que os guardians do protocolo tinham pausado as vaults afetadas para travar novas perdas. O investigador de DeFi Bhari rastreou a falha até um defeito de código que permitiu que a sobreposição contabilística fosse bem-sucedida.

Por que isto importa

A Lazy Summer é um router automatizado de rendimento que deposita fundos dos utilizadores em mercados de empréstimos, incluindo Aave e Morpho, rebalanceando posições em nome dos depositantes para procurar retornos mais elevados. Um ataque de flash loan que explora a contabilidade em vez de uma manipulação direta do oráculo de preços está entre os modos de falha mais difíceis de modelar, porque exige que o capital do atacante seja transitório, mas que o estado inflacionado persista tempo suficiente para permitir o resgate. O facto de o protocolo ter entrado com 22 milhões de dólares em TVL numa falha desta natureza vai pesar sobre a categoria mais ampla de agregadores de rendimento, em que os depositantes, em grande medida, subscrevem código que não leem.

Impacto no mercado

O token SUMR da Summer.fi caiu mais de 18% após a exploração ter sido conhecida, descontando o impacto imediato reputacional e na tesouraria. Incidentes comparáveis em routers de rendimento, incluindo o hack da Euler Finance em 2023 e as aprovações baseadas em phishing em vários agregadores em 2024, foram seguidos por semanas de pressão de levantamentos e uma recuperação parcial assim que os post-mortems e planos de remediação se tornaram públicos.

Tokens relacionados
$ETH

Perguntas frequentes

  1. O que aconteceu na exploração da Lazy Summer da Summer.fi?

    Um atacante utilizou um flash loan, supostamente obtido através da Morpho, para manipular a lógica contabilística das vaults automatizadas em USDC da Lazy Summer. Ao inflacionar os ativos totais reportados, o explorador resgatou contra o valor inflacionado, obtendo cerca de 6 milhões de dólares de lucro.

  2. Quanto foi perdido e qual era a dimensão do protocolo?

    Cerca de 6 milhões de dólares foram drenados do protocolo, que tinha cerca de 22 milhões de dólares em valor total bloqueado antes do ataque, segundo a DeFiLlama. A perda representa perto de um terço dos ativos depositados.

  3. Quais empresas de segurança reportaram o incidente?

    A empresa de segurança blockchain Blockaid foi a primeira a sinalizar a atividade suspeita. A PeckShield e a CertiK também reportaram o incidente. A Summer.fi confirmou que estava a investigar e indicou que os guardians do protocolo pausaram as vaults afetadas.

  4. O que aconteceu ao token SUMR da Summer.fi?

    O SUMR caiu mais de 18% depois de a exploração ter sido descoberta, descontando o impacto imediato reputacional e na tesouraria do incidente.

  5. Como foram movidos os fundos roubados após a exploração?

    A análise on-chain mostra que os fundos roubados foram convertidos em DAI na Curve antes de serem transferidos para a carteira do atacante, complicando os esforços de recuperação.

Atribuição da fonte
Agregado de CoinDesk · Verificado · Última atualização há 1h
Abrir original →