Merkeziyetsiz finans protokolü Summer.fi, bir saldırganın Ethereum üzerindeki Lazy Summer otomatik getiri kasalarında flaş kredi güvenlik açığını istismar etmesiyle yaklaşık 6 milyon dolar kaybetti ve protokol koruyucuları etkilenen tüm kasaları durdurdu.
Saldırı ilk olarak Pazartesi günü erken saatlerde blok zinciri güvenlik firması Blockaid tarafından tespit edilirken, CertiK ve PeckShield daha sonra saldırıyı doğruladı. CertiK, saldırganın Morpho'dan alınan 65,4 milyon dolarlık bir flaş kredisi kullanarak kasa operasyonlarını yöneten akıllı sözleşme FleetCommander'ın muhasebe mantığını manipüle ettiğini, böylece toplam varlıkları şişirip tek bir atomik işlemde 70,9 milyon doları çekebildiğini belirtti.
"Saldırgan, FleetCommander'ın birden fazla kasadaki toplamVarlık muhasebesini manipüle etti; özellikle saldırganın önceden biriktirdiği ve daha sonra Ark'a bağışladığı Silo: Varlamore USDC Growth kasasını hedef aldı," diye yazdı CertiK X'te. Saldırı, ERC-4626 tokenize edilmiş LazyVault_LowerRisk_USDC kasasını hedef alırken, token bağışları yoluyla bilinen bir pay enflasyonu güvenlik açığını istismar etti. Çalınan fonlar Curve üzerinde DAI'ye dönüştürüldü ve zincir üzerinde 0x7BF…3BDCa olarak tanımlanan saldırganın cüzdanına aktarıldı.
Summer.fi olayı doğruladı ve protokol koruyucularının ek kayıpları önlemek için etkilenen kasaları durdurduğunu belirtti. DefiLlama verilerine göre, saldırıdan önce protokolde kilitli toplam 22 milyon dolar değerinde varlık bulunuyordu. Protokolün SUMR yönetişim token'ı, saldırının açıklanmasının ardından yüzde 18'in üzerinde düştü. Bu olay, Aave ve Morpho gibi borç verme piyasalarında otomatik yeniden dengelemenin tek bir işlem bloğu içinde bozulabilecek karmaşık muhasebe yüzeyleri oluşturduğu DeFi getiri toplayıcılarını hedef alan flaş kredi saldırılarının artan bir modeline ekleniyor.
Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi niteliği taşımamaktadır.