Torna alle Notizie

SummerFi perde 6 mln $ per un bug, esponendo i rischi dei fondi DeFi

I fondi di deposito automatizzati di SummerFi hanno subito un prelievo di circa 6 milioni di dollari a causa di una vulnerabilità nel software che gestisce gli spostamenti di asset senza l'approvazione dell'utente. L'incidente colpisce i depositanti che si sono fidati del sistema per la gestione sicura del loro denaro e solleva preoccupazioni sui rischi nascosti nei servizi crypto automatizzati.
Un prelievo di 6 milioni di dollari dai vault automatizzati di Summer.fi ha messo in allerta il settore: i bug degli smart contract non sono più la minaccia più grande – potrebbe esserlo il codice che ribilancia i tuoi fondi senza chiedere il permesso.

Blockaid ha indicato l'exploit il 6 luglio, stimando che circa 6 milioni di dollari avessero già lasciato il protocollo. La società di sicurezza ha pubblicato la transazione dell'exploit, l'indirizzo dell'attaccante e i contratti specifici coinvolti – sono stati colpiti sia Summer.fi che il suo protocollo Lazy Summer. Il registro on-chain mostra un trasferimento Ethereum andato a buon fine alle 05:17:59 UTC.

Summer.fi ha riconosciuto l'incidente ore dopo. I guardiani del protocollo hanno congelato tutti i vault su Lazy Summer mentre il team indaga sulla causa principale. La cifra finale della perdita e la vulnerabilità esatta rimangono da confermare in attesa di una revisione più completa.

L'exploit prende di mira una caratteristica di progettazione che molti depositanti non vedono mai.

I Lazy Vaults di Summer.fi – chiamati anche Fleets – dovrebbero essere del tipo "imposta e dimentica". Si ribilanciano automaticamente utilizzando un sistema a più livelli: un Fleet Commander gestisce i depositi e l'allocazione; gli ARK eseguono le strategie di rendimento; RAFT raccoglie e compone i premi. Un Keeper AI Agent può spostare gli asset tra gli ARK entro i limiti stabiliti dalla governance.

È proprio in questa catena di fiducia che l'attacco ha avuto luogo. Un depositante si affida alla contabilità delle quote, ai contratti di strategia, alla logica del keeper, ai limiti di governance e ai freni di emergenza – tutti elementi che spostano capitale senza approvazione manuale.

L'incidente segue un trimestre brutale per la sicurezza DeFi. L'analisi di CryptoSlate ha stimato le perdite totali note da hack a 780,3 milioni di dollari solo nel secondo trimestre. Il modello sta cambiando: i flash loan e gli exploit dei bridge stanno diminuendo, ma i bug di logica – specialmente nei sistemi automatizzati – sono più difficili da contenere.

Per ora, gli utenti dovrebbero attendere il post-mortem di Summer.fi. Il protocollo ha audit e una taglia su Immunefi registrati, ma questo evento dimostra che "verificato" e "sicuro" non sono la stessa cosa quando la superficie di attacco è l'automazione.

Notizie correlate