Un détournement de 6 millions de dollars des coffres automatisés de Summer.fi a mis le secteur en alerte : les bugs de contrats intelligents ne sont plus la plus grande menace – le code qui rééquilibre votre argent sans vous le demander pourrait l'être.
Blockaid a indiqué l'exploit le 6 juillet, estimant qu'environ 6 millions de dollars avaient déjà quitté le protocole. La société de sécurité a publié la transaction de l'exploit, l'adresse de l'attaquant et les contrats spécifiques impliqués – Summer.fi et son protocole Lazy Summer ont tous deux été touchés. Le registre on-chain montre un transfert Ethereum réussi à 05:17:59 UTC.
Summer.fi a reconnu l'incident quelques heures plus tard. Les gardiens du protocole ont gelé tous les coffres de Lazy Summer pendant que l'équipe enquête sur la cause première. Le montant final de la perte et la vulnérabilité exacte restent à confirmer en attendant un examen plus approfondi.
L'exploit cible une caractéristique de conception que de nombreux déposants ne voient jamais.
Les Lazy Vaults de Summer.fi – également appelés Fleets – sont censés être des systèmes « configurez et oubliez ». Ils se rééquilibrent automatiquement à l'aide d'un système à plusieurs couches : un Fleet Commander gère les dépôts et l'allocation ; les ARK exécutent les stratégies de rendement ; RAFT récolte et compose les récompenses. Un Keeper AI Agent peut déplacer des actifs entre les ARK dans les limites fixées par la gouvernance.
C'est précisément là que l'attaque a frappé cette chaîne de confiance. Un déposant s'appuie sur la comptabilité des parts, les contrats de stratégie, la logique du gardien, les plafonds de gouvernance et les freins d'urgence – tous déplaçant des capitaux sans approbation manuelle.
Cet incident fait suite à un trimestre brutal pour la sécurité de la DeFi. La propre analyse de CryptoSlate a estimé les pertes totales connues dues aux piratages à 780,3 millions de dollars pour le seul deuxième trimestre. La tendance évolue : les exploits de prêts flash et de ponts s'estompent, mais les bugs logiques – en particulier dans les systèmes automatisés – sont plus difficiles à contenir.
Pour l'instant, les utilisateurs devraient attendre le post-mortem de Summer.fi. Le protocole a des audits et une prime Immunefi enregistrés, mais cet événement montre que « audité » et « sûr » ne sont pas la même chose lorsque l'automatisation est la surface d'attaque.
SummerFi perd 6 M$ à cause d'un bug dans ses coffres automatisés
Les fonds de dépôt automatisés de SummerFi ont été vidés d'environ 6 millions de dollars en raison d'une faille logicielle. Cette faille permettait de déplacer des actifs sans l'approbation des utilisateurs, soulevant des inquiétudes sur les risques cachés des services crypto automatisés.