Summer.fi แพลตฟอร์มรวมผลตอบแทน DeFi สูญเสียประมาณ 6 ล้านดอลลาร์ในวันที่ 6 กรกฎาคม จากการโจมตีแบบ flash loan ที่ต้องสงสัยว่ามุ่งเป้าไปยังสัญญาอัจฉริยะ Lazy Summer ตามรายงานจากแพลตฟอร์มความปลอดภัยเว็บ3 Blockaid การโจมตีเกิดขึ้นหลังจากกระเป๋าเงินที่ได้รับเงินทุนผ่าน FixedFloat บนเครือข่าย Base เริ่มธุรกรรมที่น่าสงสัยบน Ethereum โดยจัดการกลไกการคำนวณหุ้นของ Vault ด้วยการใช้ประโยชน์จากช่องโหว่ราคาสินทรัพย์ การโจมตีแบบ flash loan ช่วยให้ผู้โจมตียืมเงินทุนจำนวนมากและชำระคืนภายในธุรกรรมบล็อกเชนเดียว ทำให้สามารถบิดเบือนสภาพคล่องหรือเงื่อนไขราคาชั่วคราวโดยไม่ต้องมีความเสี่ยงทางการเงินระยะยาวนอกเหนือจากค่าธรรมเนียมธุรกรรม
ระบบตรวจจับการโจมตีของ Blockaid ระบุการโจมตีที่กำลังดำเนินอยู่ โดยรายงานว่าการวิเคราะห์เบื้องต้นชี้ให้เห็นว่าผู้โจมตีใช้ประโยชน์จากช่องโหว่ในกลไกการคำนวณหุ้นของ Vault ด้วยการจัดการราคาสินทรัพย์ เงินที่ถูกขโมยถูกแปลงเป็น DAI และโอนไปยังที่อยู่ที่ผู้โจมตีควบคุม
บริษัทรักษาความปลอดภัยบล็อกเชน PeckShield ระบุว่า Vault ที่ได้รับผลกระทบหลักคือ LazyVault_LowerRisk_USDC (LVUSDC) ซึ่งจัดการโดย Block Analitica ระหว่างเหตุการณ์ อัตราผลตอบแทนต่อปี (APY) ที่แสดงของ Vault พุ่งสูงขึ้นชั่วครู่เป็นประมาณ 2.08 ล้าน ซึ่งสะท้อนถึงสถานะที่ผิดปกติของโปรโตคอล PeckShield ยังตั้งข้อสังเกตว่าผู้ถือรายใหญ่ที่สุดรายหนึ่งของ Vault ซึ่งเป็นกระเป๋าเงินที่เชื่อว่าเกี่ยวข้องกับ Torben Jorgensen (UDHC) ได้ฝาก USDC ประมาณ 8.6 ล้านเข้าสู่ Vault ที่ได้รับผลกระทบ
CertiK ชี้ไปยังธุรกรรมที่น่าสงสัยซึ่งสอดคล้องกับการโจมตีแบบ flash loan ตามการวิเคราะห์ของบริษัท ผู้โจมตีได้รับ flash loan มูลค่าประมาณ 65.4 ล้านดอลลาร์ และใช้เงินที่ยืมมาจัดการสภาพคล่องในพูล DAI/USDC ของ Curve และ Vault Morpho V2 การโจมตีเชื่อว่าใช้ประโยชน์จากกลไกการจัดสรร Vault (vault deallocation mechanism) ทำให้ผู้โจมตีสามารถจัดการการคำนวณหุ้นก่อนที่จะดึงผลกำไร 6 ล้านดอลลาร์ Flash loan ถูกชำระคืนภายในธุรกรรมบล็อกเชนเดียวกัน หมายความว่าผู้โจมตีไม่จำเป็นต้องใช้เงินทุนของตนเองนอกเหนือจากค่าธรรมเนียมธุรกรรม
Summer.fi ให้บริการรวมผลตอบแทนและการจัดการ Vault อัตโนมัติ โดยนำเสนอโครงสร้างพื้นฐานที่เน้นสถาบันสำหรับผู้ใช้ DeFi ช่วยให้ผู้ใช้สามารถยืม stablecoin จัดการสถานะเลเวอเรจ และรับผลตอบแทนผ่านการบูรณาการกับโปรโตคอล DeFi หลายแห่ง โปรเจกต์ยังไม่ได้แสดงความคิดเห็นต่อสาธารณะเกี่ยวกับเหตุการณ์ดังกล่าวในเวลาที่เผยแพร่
เกิดอะไรขึ้นกับ Summer.fi ในวันที่ 6 กรกฎาคม
Summer.fi สูญเสียประมาณ 6 ล้านดอลลาร์จากการโจมตีแบบ flash loan ที่ต้องสงสัยซึ่งใช้ประโยชน์จากช่องโหว่ในกลไกการคำนวณหุ้นของ Vault ในสัญญาอัจฉริยะ Lazy Summer ตามข้อมูลของ Blockaid
ผู้โจมตีดำเนินการโจมตี Summer.fi ได้อย่างไร
จากการวิเคราะห์ของ CertiK ผู้โจมตีได้รับ flash loan มูลค่าประมาณ 65.4 ล้านดอลลาร์ ใช้เงินที่ยืมมาจัดการสภาพคล่องในพูล DAI/USDC ของ Curve และ Vault Morpho V2 ใช้ประโยชน์จากกลไกการจัดสรร Vault เพื่อจัดการการคำนวณหุ้น ดึงผลกำไร 6 ล้านดอลลาร์ และชำระคืน flash loan ภายในธุรกรรมบล็อกเชนเดียวกัน
Vault ใดได้รับผลกระทบหลักในการโจมตี Summer.fi
PeckShield ระบุว่า LazyVault_LowerRisk_USDC (LVUSDC) ซึ่งจัดการโดย Block Analitica เป็น Vault ที่ได้รับผลกระทบหลัก โดยอัตราผลตอบแทนต่อปีพุ่งสูงขึ้นชั่วครู่เป็นประมาณ 2.08 ล้านระหว่างเหตุการณ์
news.related.news
「Ill Bloom」ช่องโหว่กระเป๋าเงินจากคำช่วยจำที่อ่อนแอถูกใช้ประโยชน์ สูญเสียมากกว่า 5 ล้านดอลลาร์ตั้งแต่เดือนพฤษภาคม
D3Lab ตรวจจับคลื่นมัลแวร์แตะเพื่อชำระเงินที่มุ่งเป้าไปยังผู้ใช้ Android ในยุโรป
Hinkal DeFi สูญเสีย 820,000 ดอลลาร์จากช่องโหว่ และ ETH 410 เหรียญเกี่ยวข้องกับการฟอกเงิน
Drift Protocol เปลี่ยนชื่อเป็น Velocity DEX วางแผนเริ่มต้นใหม่หลังคดีขโมย 280 ล้านดอลลาร์