Summer.fi perde $6M em ataque de flash loan no cofre DeFi

ETH0,59%
USDC-0,01%
CRV1,27%
MORPHO3,42%

Summer.fi, uma plataforma de agregação de rendimentos DeFi, perdeu aproximadamente 6 milhões de dólares a 6 de julho num alegado ataque de flash loan direcionado aos seus smart contracts Lazy Summer, de acordo com a plataforma de segurança Web3 Blockaid. O exploit ocorreu depois de uma carteira financiada através da FixedFloat na rede Base ter iniciado uma transação suspeita em Ethereum, manipulando o mecanismo de contabilização de quotas do vault ao explorar vulnerabilidades nos preços dos ativos. Os ataques de flash loan permitem aos atacantes pedir grandes quantias de capital e reembolsá-las numa única transação blockchain, possibilitando a distorção temporária da liquidez ou das condições de preço sem necessidade de exposição financeira de longo prazo para além das taxas de transação.

Blockaid e PeckShield identificam manipulação de contabilização de quotas do vault

O sistema de deteção de exploits da Blockaid identificou o ataque em curso, reportando que a análise preliminar indica que o atacante explorou uma vulnerabilidade no mecanismo de contabilização de quotas do vault ao manipular os preços dos ativos. Os fundos roubados foram subsequentemente convertidos em DAI e transferidos para um endereço controlado pelo atacante.

A empresa de segurança blockchain PeckShield identificou o vault afetado principal como LazyVault_LowerRisk_USDC (LVUSDC), gerido pela Block Analitica. Durante o incidente, a percentagem de rendimento anual (APY) exibida pelo vault disparou brevemente para cerca de 2,08 milhões, refletindo o estado anómalo do protocolo. A PeckShield também notou que um dos maiores detentores do vault, uma carteira alegadamente associada a Torben Jorgensen (UDHC), tinha depositado aproximadamente 8,6 milhões de USDC no vault afetado.

CertiK rastreia transação de flash loan de 65,4 milhões de dólares

A CertiK apontou para uma transação suspeita consistente com um ataque de flash loan. De acordo com a análise da empresa, o atacante obteve um flash loan no valor de aproximadamente 65,4 milhões de dólares e utilizou os fundos emprestados para manipular a liquidez nos pools DAI/USDC da Curve e nos vaults Morpho V2. O exploit terá abusado do mecanismo de desalocação do vault, permitindo ao atacante manipular a contabilização de quotas antes de extrair 6 milhões de dólares em lucro. O flash loan foi reembolsado na mesma transação blockchain, o que significa que o atacante não precisou de comprometer capital próprio para além das taxas de transação.

A Summer.fi fornece serviços de agregação de rendimentos e gestão automatizada de vaults, oferecendo infraestrutura focada em instituições para utilizadores de DeFi. Permite que os utilizadores peçam empréstimos de stablecoins, gerenciem posições alavancadas e obtenham rendimento através de integrações com múltiplos protocolos DeFi. O projeto não havia comentado publicamente o incidente até ao momento da publicação.

FAQ

O que aconteceu à Summer.fi a 6 de julho?

A Summer.fi perdeu aproximadamente 6 milhões de dólares num alegado ataque de flash loan que explorou uma vulnerabilidade no mecanismo de contabilização de quotas do vault dos seus smart contracts Lazy Summer, de acordo com a Blockaid.

Como executou o atacante o exploit na Summer.fi?

De acordo com a análise da CertiK, o atacante obteve um flash loan no valor de aproximadamente 65,4 milhões de dólares, utilizou os fundos emprestados para manipular a liquidez nos pools DAI/USDC da Curve e nos vaults Morpho V2, abusou do mecanismo de desalocação do vault para manipular a contabilização de quotas, extraiu 6 milhões de dólares em lucro e reembolsou o flash loan na mesma transação blockchain.

Qual vault foi principalmente afetado no ataque à Summer.fi?

A PeckShield identificou o LazyVault_LowerRisk_USDC (LVUSDC), gerido pela Block Analitica, como o vault afetado principal, com a sua percentagem de rendimento anual a disparar brevemente para cerca de 2,08 milhões durante o incidente.

Aviso legal: As informações contidas nesta página podem provir de fontes externas e têm caráter meramente informativo. Não refletem os pontos de vista nem as opiniões da Gate e não constituem qualquer tipo de aconselhamento financeiro, de investimento ou jurídico. A negociação de ativos virtuais envolve um risco elevado. Não se baseie exclusivamente nas informações contidas nesta página ao tomar decisões. Para mais detalhes, consulte o Aviso legal.
Comentar
0/400
Nenhum comentário