Summer.fi, uma plataforma de agregação de rendimentos DeFi, perdeu aproximadamente 6 milhões de dólares a 6 de julho num alegado ataque de flash loan direcionado aos seus smart contracts Lazy Summer, de acordo com a plataforma de segurança Web3 Blockaid. O exploit ocorreu depois de uma carteira financiada através da FixedFloat na rede Base ter iniciado uma transação suspeita em Ethereum, manipulando o mecanismo de contabilização de quotas do vault ao explorar vulnerabilidades nos preços dos ativos. Os ataques de flash loan permitem aos atacantes pedir grandes quantias de capital e reembolsá-las numa única transação blockchain, possibilitando a distorção temporária da liquidez ou das condições de preço sem necessidade de exposição financeira de longo prazo para além das taxas de transação.
Blockaid e PeckShield identificam manipulação de contabilização de quotas do vault
O sistema de deteção de exploits da Blockaid identificou o ataque em curso, reportando que a análise preliminar indica que o atacante explorou uma vulnerabilidade no mecanismo de contabilização de quotas do vault ao manipular os preços dos ativos. Os fundos roubados foram subsequentemente convertidos em DAI e transferidos para um endereço controlado pelo atacante.
A empresa de segurança blockchain PeckShield identificou o vault afetado principal como LazyVault_LowerRisk_USDC (LVUSDC), gerido pela Block Analitica. Durante o incidente, a percentagem de rendimento anual (APY) exibida pelo vault disparou brevemente para cerca de 2,08 milhões, refletindo o estado anómalo do protocolo. A PeckShield também notou que um dos maiores detentores do vault, uma carteira alegadamente associada a Torben Jorgensen (UDHC), tinha depositado aproximadamente 8,6 milhões de USDC no vault afetado.
CertiK rastreia transação de flash loan de 65,4 milhões de dólares
A CertiK apontou para uma transação suspeita consistente com um ataque de flash loan. De acordo com a análise da empresa, o atacante obteve um flash loan no valor de aproximadamente 65,4 milhões de dólares e utilizou os fundos emprestados para manipular a liquidez nos pools DAI/USDC da Curve e nos vaults Morpho V2. O exploit terá abusado do mecanismo de desalocação do vault, permitindo ao atacante manipular a contabilização de quotas antes de extrair 6 milhões de dólares em lucro. O flash loan foi reembolsado na mesma transação blockchain, o que significa que o atacante não precisou de comprometer capital próprio para além das taxas de transação.
A Summer.fi fornece serviços de agregação de rendimentos e gestão automatizada de vaults, oferecendo infraestrutura focada em instituições para utilizadores de DeFi. Permite que os utilizadores peçam empréstimos de stablecoins, gerenciem posições alavancadas e obtenham rendimento através de integrações com múltiplos protocolos DeFi. O projeto não havia comentado publicamente o incidente até ao momento da publicação.
FAQ
O que aconteceu à Summer.fi a 6 de julho?
A Summer.fi perdeu aproximadamente 6 milhões de dólares num alegado ataque de flash loan que explorou uma vulnerabilidade no mecanismo de contabilização de quotas do vault dos seus smart contracts Lazy Summer, de acordo com a Blockaid.
Como executou o atacante o exploit na Summer.fi?
De acordo com a análise da CertiK, o atacante obteve um flash loan no valor de aproximadamente 65,4 milhões de dólares, utilizou os fundos emprestados para manipular a liquidez nos pools DAI/USDC da Curve e nos vaults Morpho V2, abusou do mecanismo de desalocação do vault para manipular a contabilização de quotas, extraiu 6 milhões de dólares em lucro e reembolsou o flash loan na mesma transação blockchain.
Qual vault foi principalmente afetado no ataque à Summer.fi?
A PeckShield identificou o LazyVault_LowerRisk_USDC (LVUSDC), gerido pela Block Analitica, como o vault afetado principal, com a sua percentagem de rendimento anual a disparar brevemente para cerca de 2,08 milhões durante o incidente.