Summer.fi(サマー・エフアイ)は、DeFi利回り集約プラットフォームであり、7月6日に、Web3セキュリティプラットフォームのBlockaidによると、Lazy Summerスマートコントラクトを標的としたフラッシュローン攻撃の疑いにより、約600万ドルの損失を被りました。この攻撃は、Baseネットワーク上のFixedFloatを通じて資金提供されたウォレットがイーサリアム上で不審なトランザクションを開始し、資産価格の脆弱性を悪用して金庫のシェア会計メカニズムを操作した後に発生しました。フラッシュローン攻撃により、攻撃者は多額の資本を借り入れ、単一のブロックチェーントランザクション内で返済することが可能となり、取引手数料を超える長期的なエクスポージャーを必要とせずに、流動性や価格条件を一時的に歪めることができます。
BlockaidとPeckShieldが金庫の会計操作を特定
Blockaidのエクスプロイト検出システムは進行中の攻撃を特定し、予備分析によれば、攻撃者は資産価格を操作することで金庫のシェア会計メカニズムの脆弱性を悪用したと報告しています。盗まれた資金はその後DAIに変換され、攻撃者が管理するアドレスに転送されました。
ブロックチェーンセキュリティ企業のPeckShieldは、主な被害金庫としてBlock Analiticaが管理するLazyVault_LowerRisk_USDC(LVUSDC)を特定しました。インシデント中、金庫の表示年利(APY)は一時的に約208万に急上昇し、プロトコルの異常状態を反映していました。PeckShieldはまた、金庫の最大保有者の1つであり、Torben Jorgensen(UDHC)に関連するとみられるウォレットが、影響を受けた金庫に約860万USDCを預けていたと指摘しました。
CertiKが6540万ドルのフラッシュローン取引を追跡
CertiKは、フラッシュローン攻撃と一致する不審なトランザクションを指摘しました。同社の分析によると、攻撃者は約6540万ドル相当のフラッシュローンを取得し、借り入れた資金を使ってCurveのDAI/USDCプールとMorpho V2金庫全体の流動性を操作しました。このエクスプロイトは金庫のデアロケーション(割り当て解除)メカニズムを悪用したとみられ、攻撃者はシェア会計を操作してから600万ドルの利益を引き出しました。フラッシュローンは同じブロックチェーントランザクション内で返済されたため、攻撃者は取引手数料を超える自己資本を投入する必要はありませんでした。
Summer.fiは、利回り集約と自動化された金庫管理サービスを提供し、DeFiユーザー向けの機関投資家向けインフラを提供しています。ユーザーはステーブルコインの借り入れ、レバレッジポジションの管理、複数のDeFiプロトコルとの統合を通じた利回りの獲得が可能です。本プロジェクトは、本稿執筆時点でこのインシデントについて公にコメントしていません。
FAQ
7月6日にSummer.fiに何が起こったのですか?
Blockaidによると、Summer.fiは、Lazy Summerスマートコントラクトの金庫シェア会計メカニズムの脆弱性を悪用したフラッシュローン攻撃の疑いにより、約600万ドルの損失を被りました。
攻撃者はどのようにSummer.fiのエクスプロイトを実行したのですか?
CertiKの分析によると、攻撃者は約6540万ドル相当のフラッシュローンを取得し、借り入れた資金を使ってCurveのDAI/USDCプールとMorpho V2金庫全体の流動性を操作し、金庫のデアロケーション(割り当て解除)メカニズムを悪用してシェア会計を操作し、600万ドルの利益を引き出し、同じブロックチェーントランザクション内でフラッシュローンを返済しました。
Summer.fi攻撃で主に影響を受けた金庫はどれですか?
PeckShieldは、Block Analiticaが管理するLazyVault_LowerRisk_USDC(LVUSDC)を主な被害金庫として特定し、インシデント中に年利が一時的に約208万に急上昇したとしています。