Merkeziyetsiz finans protokolü Summer.fi, Ethereum tabanlı getiri platformundan yaklaşık 6 milyon doların boşaltılmasının ardından Lazy Summer kasalarını durdurdu. DeFiLlama verilerine göre saldırı öncesinde protokolün kilitli toplam değeri yaklaşık 22 milyon dolardı; bu da kaybın yatırılan tüm varlıkların neredeyse üçte birine karşılık geldiği anlamına geliyor.
Saldırgan, iddiaya göre Morpho üzerinden sağlanan büyük bir flash loan kullanarak Lazy Summer'ın otomatik USDC kasalarının muhasebe mantığını manipüle etti. Bildirilen toplam varlıkları şişirerek, istismarcı şişirilmiş rakam üzerinden geri ödeme yaparak net kâr elde etti. Çalınan fonlar, zincir üstü analize göre, saldırganın cüzdanına aktarılmadan önce Curve üzerinden DAI'ye dönüştürüldü.
Blockchain güvenlik şirketi Blockaid şüpheli etkinliği ilk olarak işaretledi; PeckShield ve CertiK da olayı raporladı. Summer.fi soruşturmayı doğruladı ve protokol koruyucularının, ek kayıpları engellemek için etkilenen kasaları durdurduğunu belirtti. DeFi araştırmacısı Bhari, kusuru muhasebe geçersiz kılma işleminin başarılı olmasına izin veren bir kod hatasına kadar izledi.
Neden önemli
Lazy Summer, kullanıcı fonlarını Aave ve Morpho dahil borç verme piyasalarına yatıran, mevduat sahipleri adına daha yüksek getiri peşinde koşarak pozisyonları yeniden dengeleyen otomatik bir getiri yönlendiricisidir. Doğrudan fiyat oracle'ı manipülasyonu yerine muhasebeyi istismar eden bir flash-loan saldırısı, modellemesi en zor başarısızlık modlarından biridir; çünkü saldırganın sermayesinin geçici olmasını, ancak şişirilmiş durumun geri ödeme için yeterince uzun süre kalmasını gerektirir. Protokolün bu biçimde bir kusurla 22 milyon dolarlık TVL taşıyor olması, mevduat sahiplerinin büyük ölçüde okumadıkları kodu üstlendiği daha geniş getiri toplayıcı kategorisi üzerinde ağırlık oluşturacak.
Piyasa etkisi
Summer.fi'nin SUMR token'ı istismarın ortaya çıkmasının ardından yüzde 18'den fazla düştü; bu hareket, itibar ve hazine üzerindeki acil etkiyi fiyatlara yansıttı. 2023'teki Euler Finance hack'i ve 2024'te birden fazla toplayıcıda yaşanan kimlik avı kaynaklı onaylar dahil olmak üzere karşılaştırılabilir getiri yönlendirici olayları, post-mortem ve iyileştirme planları kamuya açıklandıktan sonra haftalarca süren çekim baskısı ve kısmi toparlanma ile izlenmişti.
Sıkça sorulan sorular
-
Summer.fi Lazy Summer istismarında ne oldu?
Saldırgan, iddiaya göre Morpho üzerinden sağlanan bir flash loan kullanarak Lazy Summer'ın otomatik USDC kasalarının muhasebe mantığını manipüle etti. Bildirilen toplam varlıkları şişirerek, şişirilmiş rakam üzerinden geri ödeme yaptı ve yaklaşık 6 milyon dolarlık kâr elde etti.
-
Ne kadar kayıp yaşandı ve protokolün büyüklüğü neydi?
DeFiLlama verilerine göre, saldırı öncesinde kilitli toplam değeri yaklaşık 22 milyon dolar olan protokolden yaklaşık 6 milyon dolar boşaltıldı. Kayıp, yatırılan varlıkların neredeyse üçte birine denk geliyor.
-
Hangi güvenlik şirketleri olayı raporladı?
Blockchain güvenlik şirketi Blockaid şüpheli etkinliği ilk olarak işaretledi. PeckShield ve CertiK de olayı raporladı. Summer.fi soruşturma yürüttüğünü doğruladı ve protokol koruyucularının etkilenen kasaları durdurduğunu belirtti.
-
Summer.fi SUMR token'ına ne oldu?
SUMR, istismarın ortaya çıkmasının ardından yüzde 18'den fazla düştü; bu düşüş, olayın itibar ve hazine üzerindeki acil etkisini fiyatlara yansıttı.
-
Çalınan fonlar istismardan sonra nasıl taşındı?
Zincir üstü analiz, çalınan fonların saldırganın cüzdanına aktarılmadan önce Curve üzerinde DAI'ye dönüştürüldüğünü ve bunun kurtarma çabalarını zorlaştırdığını gösteriyor.
CoinDesk