Summer.fi, una plataforma de agregación de rendimiento DeFi, perdió aproximadamente 6 millones de dólares el 06 de julio en un presunto ataque de préstamo flash dirigido a sus contratos inteligentes Lazy Summer, según la plataforma de seguridad Web3 Blockaid. El exploit ocurrió después de que una billetera financiada a través de FixedFloat en la red Base iniciara una transacción sospechosa en Ethereum, manipulando el mecanismo de contabilidad de participaciones del vault mediante la explotación de vulnerabilidades en el precio de los activos. Los ataques de préstamo flash permiten a los atacantes tomar prestadas grandes cantidades de capital y devolverlo en una sola transacción blockchain, lo que permite una distorsión temporal de las condiciones de liquidez o precios sin requerir una exposición financiera a largo plazo más allá de las tarifas de transacción.
Blockaid y PeckShield identifican manipulación de la contabilidad del vault
El sistema de detección de exploits de Blockaid identificó el ataque en curso, informando que el análisis preliminar indica que el atacante explotó una vulnerabilidad en el mecanismo de contabilidad de participaciones del vault mediante la manipulación de los precios de los activos. Los fondos robados fueron posteriormente convertidos en DAI y transferidos a una dirección controlada por el atacante.
La firma de seguridad blockchain PeckShield identificó el vault afectado principal como LazyVault_LowerRisk_USDC (LVUSDC), gestionado por Block Analitica. Durante el incidente, el rendimiento porcentual anual (APY) mostrado del vault aumentó brevemente a alrededor de 2,08 millones, reflejando el estado anormal del protocolo. PeckShield también señaló que uno de los mayores tenedores del vault, una billetera que se cree asociada con Torben Jorgensen (UDHC), había depositado aproximadamente 8,6 millones de USDC en el vault afectado.
CertiK rastrea transacción de préstamo flash de 65,4 millones de dólares
CertiK señaló una transacción sospechosa consistente con un ataque de préstamo flash. Según el análisis de la firma, el atacante obtuvo un préstamo flash por valor de aproximadamente 65,4 millones de dólares y utilizó los fondos prestados para manipular la liquidez en los pools DAI/USDC de Curve y los vaults de Morpho V2. Se cree que el exploit abusó del mecanismo de desasignación del vault, permitiendo al atacante manipular la contabilidad de participaciones antes de extraer 6 millones de dólares en ganancias. El préstamo flash fue reembolsado dentro de la misma transacción blockchain, lo que significa que el atacante no necesitó comprometer su propio capital más allá de las tarifas de transacción.
Summer.fi proporciona servicios de agregación de rendimiento y gestión automatizada de vaults, ofreciendo infraestructura centrada en instituciones para usuarios de DeFi. Permite a los usuarios tomar prestadas stablecoins, gestionar posiciones apalancadas y obtener rendimiento a través de integraciones con múltiples protocolos DeFi. El proyecto no había hecho comentarios públicos sobre el incidente al momento de la publicación.
Preguntas frecuentes
¿Qué sucedió con Summer.fi el 06 de julio?
Summer.fi perdió aproximadamente 6 millones de dólares en un presunto ataque de préstamo flash que explotó una vulnerabilidad en el mecanismo de contabilidad de participaciones del vault de sus contratos inteligentes Lazy Summer, según Blockaid.
¿Cómo ejecutó el atacante el exploit de Summer.fi?
Según el análisis de CertiK, el atacante obtuvo un préstamo flash por valor de aproximadamente 65,4 millones de dólares, utilizó los fondos prestados para manipular la liquidez en los pools DAI/USDC de Curve y los vaults de Morpho V2, abusó del mecanismo de desasignación del vault para manipular la contabilidad de participaciones, extrajo 6 millones de dólares en ganancias y reembolsó el préstamo flash dentro de la misma transacción blockchain.
¿Qué vault fue el principal afectado en el ataque a Summer.fi?
PeckShield identificó a LazyVault_LowerRisk_USDC (LVUSDC), gestionado por Block Analitica, como el vault afectado principal, con su rendimiento porcentual anual aumentando brevemente a alrededor de 2,08 millones durante el incidente.