Giao thức tài chính phi tập trung Summer.fi đã mất khoảng 6 triệu USD sau khi kẻ tấn công khai thác lỗ hổng flash loan trong các vault lợi suất tự động Lazy Summer trên Ethereum, buộc người bảo vệ giao thức phải tạm dừng tất cả các vault bị ảnh hưởng.
Vụ khai thác lần đầu tiên được công ty bảo mật blockchain Blockaid phát hiện vào đầu ngày thứ Hai, với CertiK và PeckShield sau đó xác nhận vụ tấn công. CertiK cho biết kẻ tấn công đã sử dụng một khoản vay flash 65,4 triệu USD từ Morpho để thao túng logic kế toán của FleetCommander — hợp đồng thông minh quản lý hoạt động của vault — cho phép chúng làm tăng tổng tài sản và rút 70,9 triệu USD trong một giao dịch nguyên tử duy nhất.
"Kẻ tấn công đã thao túng cách tính totalAssets của FleetCommander trên nhiều vault, đặc biệt là Silo: Varlamore USDC Growth, mà kẻ tấn công đã tích lũy trước đó và quyên góp cho Ark ở giữa," CertiK viết trên X. Vụ khai thác nhắm vào một vault token hóa ERC-4626 có tên LazyVault_LowerRisk_USDC, khai thác lỗ hổng pha loãng cổ phần đã biết thông qua các khoản quyên góp token. Số tiền bị đánh cắp đã được hoán đổi sang DAI trên Curve và chuyển vào ví của kẻ tấn công, được xác định trên chuỗi là 0x7BF…3BDCa.
Summer.fi đã xác nhận sự cố và cho biết những người bảo vệ giao thức đã tạm dừng các vault bị ảnh hưởng để ngăn chặn tổn thất thêm. Giao thức này có 22 triệu USD tổng giá trị bị khóa trước khi vụ khai thác xảy ra, theo dữ liệu từ DefiLlama. Token quản trị SUMR của nó đã giảm hơn 18% sau khi vụ tấn công được tiết lộ. Vụ việc này bổ sung vào một mô hình ngày càng gia tăng các cuộc tấn công flash loan nhắm vào các trình tổng hợp lợi suất DeFi, nơi việc tái cân bằng tự động trên các thị trường cho vay như Aave và Morpho tạo ra các bề mặt kế toán phức tạp có thể bị bóp méo trong một khối giao dịch duy nhất.
Bài viết này chỉ nhằm mục đích cung cấp thông tin và không cấu thành lời khuyên đầu tư.