Summer.fi perd $6M lors d'une attaque de flash loan sur un coffre DeFi

ETH-1,51%
CRV-5,28%
MORPHO-3,36%

Summer.fi, une plateforme d'agrégation de rendement DeFi, a perdu environ 6 millions de dollars le 6 juillet lors d'une attaque présumée par flash loan ciblant ses smart contracts Lazy Summer, selon la plateforme de sécurité Web3 Blockaid. L'exploit s'est produit après qu'un portefeuille financé via FixedFloat sur le réseau Base a initié une transaction suspecte sur Ethereum, manipulant le mécanisme de comptabilisation des parts du vault en exploitant des vulnérabilités de prix des actifs. Les attaques par flash loan permettent aux attaquants d'emprunter de grandes quantités de capital et de rembourser en une seule transaction blockchain, permettant une distorsion temporaire des conditions de liquidité ou de prix sans nécessiter d'exposition financière à long terme au-delà des frais de transaction.

Blockaid et PeckShield identifient une manipulation de la comptabilité des vaults

Le système de détection d'exploit de Blockaid a identifié l'attaque en cours, signalant que l'analyse préliminaire indique que l'attaquant a exploité une vulnérabilité dans le mécanisme de comptabilisation des parts du vault en manipulant les prix des actifs. Les fonds volés ont ensuite été convertis en DAI et transférés vers une adresse contrôlée par l'attaquant.

La société de sécurité blockchain PeckShield a identifié le vault principal affecté comme étant LazyVault_LowerRisk_USDC (LVUSDC), géré par Block Analitica. Pendant l'incident, le taux de rendement annuel en pourcentage (APY) affiché du vault a brièvement grimpé à environ 2,08 millions, reflétant l'état anormal du protocole. PeckShield a également noté que l'un des plus grands détenteurs du vault, un portefeuille présumé associé à Torben Jorgensen (UDHC), avait déposé environ 8,6 millions d'USDC dans le vault affecté.

CertiK retrace une transaction flash loan de 65,4 millions de dollars

CertiK a signalé une transaction suspecte cohérente avec une attaque par flash loan. Selon l'analyse de la firme, l'attaquant a obtenu un flash loan d'une valeur d'environ 65,4 millions de dollars et a utilisé les fonds empruntés pour manipuler la liquidité à travers les pools DAI/USDC de Curve et les vaults Morpho V2. L'exploit aurait abusé du mécanisme de désallocation du vault, permettant à l'attaquant de manipuler la comptabilité des parts avant d'extraire 6 millions de dollars de profit. Le flash loan a été remboursé dans la même transaction blockchain, ce qui signifie que l'attaquant n'a pas eu besoin d'engager son propre capital au-delà des frais de transaction.

Summer.fi fournit des services d'agrégation de rendement et de gestion automatisée de vaults, offrant une infrastructure axée sur les institutions pour les utilisateurs DeFi. Il permet aux utilisateurs d'emprunter des stablecoins, de gérer des positions à effet de levier et de générer des rendements via des intégrations avec plusieurs protocoles DeFi. Le projet n'avait pas commenté publiquement l'incident au moment de la publication.

FAQ

Que s'est-il passé sur Summer.fi le 6 juillet ?

Summer.fi a perdu environ 6 millions de dollars lors d'une attaque présumée par flash loan qui a exploité une vulnérabilité dans le mécanisme de comptabilisation des parts des smart contracts Lazy Summer, selon Blockaid.

Comment l'attaquant a-t-il exécuté l'exploit sur Summer.fi ?

Selon l'analyse de CertiK, l'attaquant a obtenu un flash loan d'une valeur d'environ 65,4 millions de dollars, a utilisé les fonds empruntés pour manipuler la liquidité à travers les pools DAI/USDC de Curve et les vaults Morpho V2, a abusé du mécanisme de désallocation du vault pour manipuler la comptabilité des parts, a extrait 6 millions de dollars de profit, et a remboursé le flash loan dans la même transaction blockchain.

Quel vault a été principalement affecté lors de l'attaque de Summer.fi ?

PeckShield a identifié LazyVault_LowerRisk_USDC (LVUSDC), géré par Block Analitica, comme le vault principal affecté, son taux de rendement annuel en pourcentage ayant brièvement grimpé à environ 2,08 millions pendant l'incident.

Avertissement : Les informations figurant sur cette page peuvent provenir de sources tierces et sont fournies à titre indicatif uniquement. Elles ne reflètent pas les points de vue ou opinions de Gate et ne constituent pas un conseil financier, d’investissement ou juridique. Le trading des actifs virtuels comporte des risques élevés. Veuillez ne pas vous fonder uniquement sur les informations de cette page pour prendre vos décisions. Pour en savoir plus, consultez l’avertissement.
Commentaire
0/400
Aucun commentaire