Terug naar Nieuws

SummerFi verliest $6M door fout in geautomatiseerde kluis

De geautomatiseerde depositofondsen van SummerFi zijn met ongeveer $6 miljoen leeggehaald door een zwakte in de software die activa zonder goedkeuring van de gebruiker beheert. Dit treft spaarders die het systeem vertrouwden en roept vragen op over verborgen risico's in geautomatiseerde cryptodiensten.
Een verlies van $6 miljoen uit de geautomatiseerde kluizen van Summer.fi heeft de sector gewaarschuwd: bugs in smart contracts zijn niet langer de grootste bedreiging – de code die uw geld herbalanceert zonder toestemming, zou dat wel eens kunnen zijn.

Blockaid wijst op de exploit op 6 juli en schatte dat er al ongeveer $6 miljoen uit het protocol was verdwenen. Het beveiligingsbedrijf publiceerde de transactie van de exploit, het adres van de aanvaller en de specifieke contracten die erbij betrokken waren – zowel Summer.fi als het Lazy Summer-protocol werden getroffen. De on-chain gegevens tonen een succesvolle Ethereum-overdracht om 05:17:59 UTC.

Summer.fi erkende het incident enkele uren later. De beheerders van het protocol hebben alle kluizen in Lazy Summer bevroren terwijl het team de hoofdoorzaak onderzoekt. Het definitieve verliesbedrag en de exacte kwetsbaarheid blijven onbevestigd in afwachting van een vollediger onderzoek.

De exploit richt zich op een ontwerpkenmerk dat veel spaarders nooit zien.

De Lazy Vaults van Summer.fi – ook wel Fleets genoemd – zijn bedoeld als een "instellen en vergeten"-systeem. Ze herbalanceren automatisch via een gelaagd systeem: een Fleet Commander beheert stortingen en toewijzingen; ARKs voeren de rendementsstrategieën uit; RAFT oogst en herinvesteert de beloningen. Een Keeper AI Agent kan activa verplaatsen tussen ARKs binnen door governance vastgestelde limieten.

Precies in die vertrouwensketen vond de aanval plaats. Een spaarder vertrouwt op de boekhouding van aandelen, strategiecontracten, de logica van de keeper, governance-limieten en noodremmen – allemaal elementen die kapitaal verplaatsen zonder handmatige goedkeuring.

Het incident volgt op een zwaar kwartaal voor de beveiliging in DeFi. CryptoSlate's eigen analyse schatte de totale bekende verliezen door hacks alleen al in het tweede kwartaal op $780,3 miljoen. Het patroon verschuift: flash leningen en bridge-exploits nemen af, maar logische bugs – vooral in geautomatiseerde systemen – zijn moeilijker in te dammen.

Voorlopig moeten gebruikers de post-mortem analyse van Summer.fi afwachten. Het protocol heeft audits en een Immunefi-bounty op zijn naam staan, maar dit evenement toont aan dat "geauditeerd" en "veilig" niet hetzelfde zijn wanneer automatisering het aanvalsoppervlak is.

Gerelateerd nieuws