Summer.fi, платформа агрегации доходности DeFi, потеряла около 6 миллионов долларов 6 июля в результате предполагаемой атаки флэш-кредита, направленной на её смарт-контракты Lazy Summer, по данным платформы безопасности Web3 Blockaid. Эксплойт произошёл после того, как кошелёк, профинансированный через FixedFloat в сети Base, инициировал подозрительную транзакцию в Ethereum, манипулируя механизмом учёта долей хранилища путём эксплуатации уязвимостей цены активов. Атаки флэш-кредитов позволяют злоумышленникам занимать большие объёмы капитала и возвращать их в рамках одной транзакции блокчейна, что позволяет временно искажать условия ликвидности или ценообразования без необходимости долгосрочного финансового риска, помимо комиссий за транзакции.
Blockaid и PeckShield выявляют манипуляцию учётом хранилища
Система обнаружения эксплойтов Blockaid выявила продолжающуюся атаку, сообщив, что предварительный анализ указывает на то, что злоумышленник использовал уязвимость в механизме учёта долей хранилища, манипулируя ценами активов. Украденные средства были впоследствии конвертированы в DAI и переведены на адрес, контролируемый злоумышленником.
Фирма по безопасности блокчейна PeckShield определила основное пострадавшее хранилище как LazyVault_LowerRisk_USDC (LVUSDC), которое управляется Block Analitica. Во время инцидента отображаемая годовая процентная доходность (APY) хранилища кратковременно выросла до примерно 2,08 миллиона, что отражает ненормальное состояние протокола. PeckShield также отметила, что один из крупнейших держателей хранилища, кошелёк, предположительно связанный с Torben Jorgensen (UDHC), внёс примерно 8,6 миллиона USDC в пострадавшее хранилище.
CertiK отслеживает транзакцию флэш-кредита на 65,4 миллиона долларов
CertiK указала на подозрительную транзакцию, соответствующую атаке флэш-кредита. Согласно анализу фирмы, злоумышленник получил флэш-кредит на сумму примерно 65,4 миллиона долларов и использовал заимствованные средства для манипулирования ликвидностью в пулах DAI/USDC Curve и хранилищах Morpho V2. Считается, что эксплойт злоупотребил механизмом деаллокации хранилища, позволив злоумышленнику манипулировать учётом долей перед извлечением 6 миллионов долларов прибыли. Флэш-кредит был погашен в рамках той же транзакции блокчейна, что означает, что злоумышленнику не нужно было вкладывать собственный капитал, кроме комиссий за транзакции.
Summer.fi предоставляет услуги агрегации доходности и автоматизированного управления хранилищами, предлагая инфраструктуру, ориентированную на институциональных пользователей DeFi. Платформа позволяет пользователям занимать стейблкоины, управлять кредитными позициями и получать доходность через интеграции с несколькими протоколами DeFi. На момент публикации проект не делал публичных комментариев по поводу инцидента.
Часто задаваемые вопросы
Что случилось с Summer.fi 6 июля?
Summer.fi потеряла около 6 миллионов долларов в результате предполагаемой атаки флэш-кредита, которая использовала уязвимость в механизме учёта долей хранилища её смарт-контрактов Lazy Summer, по данным Blockaid.
Как злоумышленник осуществил эксплойт Summer.fi?
Согласно анализу CertiK, злоумышленник получил флэш-кредит на сумму примерно 65,4 миллиона долларов, использовал заимствованные средства для манипулирования ликвидностью в пулах DAI/USDC Curve и хранилищах Morpho V2, злоупотребил механизмом деаллокации хранилища для манипуляции учётом долей, извлёк 6 миллионов долларов прибыли и погасил флэш-кредит в рамках той же транзакции блокчейна.
Какое хранилище было основным пострадавшим в атаке на Summer.fi?
PeckShield определила LazyVault_LowerRisk_USDC (LVUSDC), управляемое Block Analitica, как основное пострадавшее хранилище, при этом его годовая процентная доходность кратковременно выросла до примерно 2,08 миллиона во время инцидента.