O protocolo de finanças descentralizadas Summer.fi suspendeu as suas vaults Lazy Summer após uma exploração ter drenado cerca de 6 milhões de dólares da plataforma de rendimento baseada em Ethereum. O protocolo tinha cerca de 22 milhões de dólares em valor total bloqueado antes do ataque, segundo a DeFiLlama, o que significa que a perda representa perto de um terço de todos os ativos depositados.
O atacante utilizou um flash loan de elevado montante, supostamente obtido através da Morpho, para manipular a lógica contabilística das vaults automatizadas em USDC da Lazy Summer. Ao inflacionar os ativos totais reportados, o explorador conseguiu resgatar contra esse valor inflacionado, obtendo um lucro líquido. Os fundos roubados foram convertidos em DAI na Curve antes de serem transferidos para a carteira do atacante, de acordo com análise on-chain.
A empresa de segurança blockchain Blockaid foi a primeira a sinalizar a atividade suspeita, com a PeckShield e a CertiK também a reportarem o incidente. A Summer.fi confirmou a investigação e indicou que os guardians do protocolo tinham pausado as vaults afetadas para travar novas perdas. O investigador de DeFi Bhari rastreou a falha até um defeito de código que permitiu que a sobreposição contabilística fosse bem-sucedida.
Por que isto importa
A Lazy Summer é um router automatizado de rendimento que deposita fundos dos utilizadores em mercados de empréstimos, incluindo Aave e Morpho, rebalanceando posições em nome dos depositantes para procurar retornos mais elevados. Um ataque de flash loan que explora a contabilidade em vez de uma manipulação direta do oráculo de preços está entre os modos de falha mais difíceis de modelar, porque exige que o capital do atacante seja transitório, mas que o estado inflacionado persista tempo suficiente para permitir o resgate. O facto de o protocolo ter entrado com 22 milhões de dólares em TVL numa falha desta natureza vai pesar sobre a categoria mais ampla de agregadores de rendimento, em que os depositantes, em grande medida, subscrevem código que não leem.
Impacto no mercado
O token SUMR da Summer.fi caiu mais de 18% após a exploração ter sido conhecida, descontando o impacto imediato reputacional e na tesouraria. Incidentes comparáveis em routers de rendimento, incluindo o hack da Euler Finance em 2023 e as aprovações baseadas em phishing em vários agregadores em 2024, foram seguidos por semanas de pressão de levantamentos e uma recuperação parcial assim que os post-mortems e planos de remediação se tornaram públicos.
Perguntas frequentes
-
O que aconteceu na exploração da Lazy Summer da Summer.fi?
Um atacante utilizou um flash loan, supostamente obtido através da Morpho, para manipular a lógica contabilística das vaults automatizadas em USDC da Lazy Summer. Ao inflacionar os ativos totais reportados, o explorador resgatou contra o valor inflacionado, obtendo cerca de 6 milhões de dólares de lucro.
-
Quanto foi perdido e qual era a dimensão do protocolo?
Cerca de 6 milhões de dólares foram drenados do protocolo, que tinha cerca de 22 milhões de dólares em valor total bloqueado antes do ataque, segundo a DeFiLlama. A perda representa perto de um terço dos ativos depositados.
-
Quais empresas de segurança reportaram o incidente?
A empresa de segurança blockchain Blockaid foi a primeira a sinalizar a atividade suspeita. A PeckShield e a CertiK também reportaram o incidente. A Summer.fi confirmou que estava a investigar e indicou que os guardians do protocolo pausaram as vaults afetadas.
-
O que aconteceu ao token SUMR da Summer.fi?
O SUMR caiu mais de 18% depois de a exploração ter sido descoberta, descontando o impacto imediato reputacional e na tesouraria do incidente.
-
Como foram movidos os fundos roubados após a exploração?
A análise on-chain mostra que os fundos roubados foram convertidos em DAI na Curve antes de serem transferidos para a carteira do atacante, complicando os esforços de recuperação.
CoinDesk