Summer.fi, платформа агрегації доходів DeFi, втратила приблизно 6 мільйонів доларів 6 липня в результаті підозрюваної атаки з використанням флеш-кредиту, спрямованої на смарт-контракти Lazy Summer, за даними платформи безпеки Web3 Blockaid. Експлойт стався після того, як гаманець, профінансований через FixedFloat у мережі Base, ініціював підозрілу транзакцію в Ethereum, маніпулюючи механізмом обліку часток сховища шляхом використання вразливостей цін на активи. Атаки з флеш-кредитами дозволяють зловмисникам позичати великі суми капіталу та повертати їх у межах однієї блокчейн-транзакції, що дозволяє тимчасово спотворювати ліквідність або умови ціноутворення без необхідності довгострокового фінансового впливу, окрім комісій за транзакції.
Blockaid і PeckShield виявляють маніпуляцію обліком сховищ
Система виявлення експлойтів Blockaid ідентифікувала триваючу атаку, повідомивши, що попередній аналіз вказує на те, що зловмисник використав вразливість у механізмі обліку часток сховища, маніпулюючи цінами активів. Вкрадені кошти згодом були конвертовані в DAI та переведені на адресу, контрольовану зловмисником.
Фірма безпеки блокчейну PeckShield визначила основне постраждале сховище як LazyVault_LowerRisk_USDC (LVUSDC), яким керує Block Analitica. Під час інциденту відображувана річна відсоткова дохідність (APY) сховища ненадовго зросла до приблизно 2,08 мільйона, що відображало аномальний стан протоколу. PeckShield також зазначив, що один із найбільших власників сховища, гаманець, який, як вважається, пов'язаний з Torben Jorgensen (UDHC), депонував приблизно 8,6 мільйона USDC у постраждале сховище.
CertiK відстежує транзакцію флеш-кредиту на суму 65,4 мільйона доларів
CertiK вказав на підозрілу транзакцію, яка відповідає атаці з флеш-кредитом. Згідно з аналізом фірми, зловмисник отримав флеш-кредит на суму приблизно 65,4 мільйона доларів та використав позичені кошти для маніпуляції ліквідністю в пулах DAI/USDC від Curve та сховищах Morpho V2. Вважається, що експлойт зловжив механізмом деалокації сховища, що дозволило зловмиснику маніпулювати обліком часток перед вилученням 6 мільйонів доларів прибутку. Флеш-кредит було повернуто в межах тієї ж блокчейн-транзакції, що означає, що зловмиснику не потрібно було вкладати власний капітал, окрім комісій за транзакції.
Summer.fi надає послуги агрегації доходів та автоматизованого управління сховищами, пропонуючи інфраструктуру, орієнтовану на інституційних клієнтів для користувачів DeFi. Він дозволяє користувачам позичати стейблкоїни, управляти кредитними позиціями та отримувати дохід через інтеграцію з численними протоколами DeFi. На момент публікації проєкт публічно не коментував інцидент.
ЧаПи
Що сталося з Summer.fi 6 липня?
Summer.fi втратила приблизно 6 мільйонів доларів у результаті підозрюваної атаки з флеш-кредитом, яка використала вразливість у механізмі обліку часток сховища смарт-контрактів Lazy Summer, за даними Blockaid.
Як зловмисник виконав експлойт Summer.fi?
Згідно з аналізом CertiK, зловмисник отримав флеш-кредит на суму приблизно 65,4 мільйона доларів, використав позичені кошти для маніпуляції ліквідністю в пулах DAI/USDC від Curve та сховищах Morpho V2, зловжив механізмом деалокації сховища для маніпуляції обліком часток, вилучив 6 мільйонів доларів прибутку та повернув флеш-кредит у межах тієї ж блокчейн-транзакції.
Яке сховище постраждало найбільше під час атаки на Summer.fi?
PeckShield визначив LazyVault_LowerRisk_USDC (LVUSDC), яким керує Block Analitica, як основне постраждале сховище, причому його річна відсоткова дохідність ненадовго зросла до приблизно 2,08 мільйона під час інциденту.