Summer.fi, eine DeFi-Ertragsaggregationsplattform, verlor am 6. Juli ungefähr 6 Millionen US-Dollar durch einen mutmaßlichen Flash-Loan-Angriff, der auf ihre Lazy Summer Smart Contracts abzielte, so die Web3-Sicherheitsplattform Blockaid. Der Exploit ereignete sich, nachdem eine über FixedFloat im Base-Netzwerk finanzierte Wallet eine verdächtige Transaktion auf Ethereum initiierte, die den Abrechnungsmechanismus der Vault-Anteile durch Ausnutzung von Schwachstellen bei den Vermögenspreisen manipulierte. Flash-Loan-Angriffe ermöglichen es Angreifern, große Kapitalbeträge zu leihen und innerhalb einer einzigen Blockchain-Transaktion zurückzuzahlen, sodass sie Liquidität oder Preisbedingungen vorübergehend verzerren können, ohne dass ein langfristiges finanzielles Engagement über die Transaktionsgebühren hinaus erforderlich ist.
Blockaid und PeckShield identifizieren Manipulation der Vault-Abrechnung
Das Exploit-Erkennungssystem von Blockaid identifizierte den laufenden Angriff und berichtete, dass eine vorläufige Analyse darauf hindeutet, dass der Angreifer eine Schwachstelle im Abrechnungsmechanismus der Vault-Anteile ausnutzte, indem er die Vermögenspreise manipulierte. Die gestohlenen Gelder wurden anschließend in DAI umgewandelt und an eine vom Angreifer kontrollierte Adresse transferiert.
Die Blockchain-Sicherheitsfirma PeckShield identifizierte den primär betroffenen Vault als LazyVault_LowerRisk_USDC (LVUSDC), der von Block Analitica verwaltet wird. Während des Vorfalls stieg die angezeigte jährliche prozentuale Rendite (APY) des Vaults kurzzeitig auf etwa 2,08 Millionen, was den abnormalen Zustand des Protokolls widerspiegelt. PeckShield merkte außerdem an, dass einer der größten Halter des Vaults, eine Wallet, die vermutlich mit Torben Jorgensen (UDHC) in Verbindung steht, etwa 8,6 Millionen USDC in den betroffenen Vault eingezahlt hatte.
CertiK verfolgt Flash-Loan-Transaktion im Wert von 65,4 Millionen US-Dollar
CertiK wies auf eine verdächtige Transaktion hin, die mit einem Flash-Loan-Angriff vereinbar ist. Laut der Analyse des Unternehmens erhielt der Angreifer ein Flash-Darlehen im Wert von etwa 65,4 Millionen US-Dollar und nutzte die geliehenen Mittel, um Liquidität über Curves DAI/USDC-Pools und Morpho V2 Vaults zu manipulieren. Der Exploit soll den Vault-Freigabemechanismus missbraucht haben, sodass der Angreifer die Anteilsabrechnung manipulieren konnte, bevor er einen Gewinn von 6 Millionen US-Dollar erzielte. Das Flash-Darlehen wurde innerhalb derselben Blockchain-Transaktion zurückgezahlt, was bedeutet, dass der Angreifer kein eigenes Kapital über die Transaktionsgebühren hinaus einsetzen musste.
Summer.fi bietet Ertragsaggregation und automatisierte Vault-Verwaltungsdienste an und stellt institutionell ausgerichtete Infrastruktur für DeFi-Nutzer bereit. Es ermöglicht Nutzern, Stablecoins zu leihen, gehebelte Positionen zu verwalten und durch Integrationen mit mehreren DeFi-Protokollen Erträge zu erzielen. Das Projekt hatte sich zum Zeitpunkt der Veröffentlichung nicht öffentlich zu dem Vorfall geäußert.
FAQ
Was geschah am 6. Juli mit Summer.fi?
Summer.fi verlor ungefähr 6 Millionen US-Dollar durch einen mutmaßlichen Flash-Loan-Angriff, der eine Schwachstelle im Abrechnungsmechanismus der Vault-Anteile seiner Lazy Summer Smart Contracts ausnutzte, so Blockaid.
Wie führte der Angreifer den Exploit bei Summer.fi aus?
Laut der Analyse von CertiK erhielt der Angreifer ein Flash-Darlehen im Wert von etwa 65,4 Millionen US-Dollar, nutzte die geliehenen Mittel, um Liquidität über Curves DAI/USDC-Pools und Morpho V2 Vaults zu manipulieren, missbrauchte den Vault-Freigabemechanismus zur Manipulation der Anteilsabrechnung, erzielte einen Gewinn von 6 Millionen US-Dollar und zahlte das Flash-Darlehen innerhalb derselben Blockchain-Transaktion zurück.
Welcher Vault war beim Summer.fi-Angriff primär betroffen?
PeckShield identifizierte LazyVault_LowerRisk_USDC (LVUSDC), verwaltet von Block Analitica, als den primär betroffenen Vault, dessen jährliche prozentuale Rendite während des Vorfalls kurzzeitig auf etwa 2,08 Millionen anstieg.